FreeIPA ohne Web-UI oder Port-Änderung

Question 1

Nein, Sie können die Ports und die Konfiguration nicht ändern. Wenn Sie sie ändern, werden andere Teile des Systems, die JSON-RPC- und XML-RPC-Endpunkte erwarten, fehlschlagen, weil sie davon ausgehen, dass die Endpunkte unter 443 und nicht anderswo verfügbar sind und es keinen Mechanismus gibt, um einen alternativen Port für das IPA-Framework und die Clients auszuhandeln.

Infolgedessen funktioniert die Bereitstellung auf Client-Rechnern nicht und auch die IPA-Verwaltung über die Befehlszeile funktioniert nicht. Die Web-Benutzeroberfläche ist lediglich eine JavaScript-Anwendung, die dieselben JSON-RPC-Endpunkte verwendet, die auch von Befehlszeilentools verwendet werden.

In der Praxis stellt sich die Frage, warum Sie die Konfiguration ändern müssen. Wenn Sie andere Anwendungen auf FreeIPA-Masterknoten hosten möchten, empfehle ich Ihnen, dies noch einmal zu überdenken. FreeIPA-Masterknoten hosten Ihre Authentifizierungsinfrastruktur und das Co-Hosting von irgendetwas anderem erweitert im Wesentlichen die Angriffsfläche für jeden, der daran interessiert ist, sich in den Kern Ihrer Infrastruktur einzuhacken.

Answer

Nein, Sie können die Ports und die Konfiguration nicht ändern. Wenn Sie sie ändern, werden andere Teile des Systems, die JSON-RPC- und XML-RPC-Endpunkte erwarten, fehlschlagen, weil sie davon ausgehen, dass die Endpunkte unter 443 und nicht anderswo verfügbar sind und es keinen Mechanismus gibt, um einen alternativen Port für das IPA-Framework und die Clients auszuhandeln.

Infolgedessen funktioniert die Bereitstellung auf Client-Rechnern nicht und auch die IPA-Verwaltung über die Befehlszeile funktioniert nicht. Die Web-Benutzeroberfläche ist lediglich eine JavaScript-Anwendung, die dieselben JSON-RPC-Endpunkte verwendet, die auch von Befehlszeilentools verwendet werden.

In der Praxis stellt sich die Frage, warum Sie die Konfiguration ändern müssen. Wenn Sie andere Anwendungen auf FreeIPA-Masterknoten hosten möchten, empfehle ich Ihnen, dies noch einmal zu überdenken. FreeIPA-Masterknoten hosten Ihre Authentifizierungsinfrastruktur und das Co-Hosting von irgendetwas anderem erweitert im Wesentlichen die Angriffsfläche für jeden, der daran interessiert ist, sich in den Kern Ihrer Infrastruktur einzuhacken.

Question 2

Obwohl es für Produktionszwecke nicht empfohlen wird, können Sie freeIPA als Docker-Container ausführen, wobei die Ports 80 und 443 neu zugewiesen werden.

Wenn Sie den FreeIPA-Server nicht nur von dem Host aus verwenden möchten, auf dem er läuft, sondern auch von externen Rechnern aus, können Sie die Optionen -p verwenden, um die Dienste extern zugänglich zu machen. Sie werden dann wahrscheinlich auch die Umgebungsvariable IPA_SERVER_IP über die Option -e angeben wollen, um zu definieren, welche IP-Adresse der Server als seine Adresse in DNS eingeben soll. Das Starten des Servers wäre dann

docker run --name freeipa-server-container -ti \
    -e IPA_SERVER_IP=10.12.0.98 \
    -p 53:53/udp -p 53:53 \
    -p 8880:80 -p 8443:443 -p 389:389 -p 636:636 -p 88:88 -p 464:464 \
    -p 88:88/udp -p 464:464/udp -p 123:123/udp \
    -h ipa.example.test --read-only \
    -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
    -v /var/lib/ipa-data:/data:Z \
    freeipa-server

Sehendie FreeIPA-Docker-Image-Infos hierfür mehr Informationen.

Answer

Obwohl es für Produktionszwecke nicht empfohlen wird, können Sie freeIPA als Docker-Container ausführen, wobei die Ports 80 und 443 neu zugewiesen werden.

Wenn Sie den FreeIPA-Server nicht nur von dem Host aus verwenden möchten, auf dem er läuft, sondern auch von externen Rechnern aus, können Sie die Optionen -p verwenden, um die Dienste extern zugänglich zu machen. Sie werden dann wahrscheinlich auch die Umgebungsvariable IPA_SERVER_IP über die Option -e angeben wollen, um zu definieren, welche IP-Adresse der Server als seine Adresse in DNS eingeben soll. Das Starten des Servers wäre dann

docker run --name freeipa-server-container -ti \
    -e IPA_SERVER_IP=10.12.0.98 \
    -p 53:53/udp -p 53:53 \
    -p 8880:80 -p 8443:443 -p 389:389 -p 636:636 -p 88:88 -p 464:464 \
    -p 88:88/udp -p 464:464/udp -p 123:123/udp \
    -h ipa.example.test --read-only \
    -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
    -v /var/lib/ipa-data:/data:Z \
    freeipa-server

Sehendie FreeIPA-Docker-Image-Infos hierfür mehr Informationen.

Question 3

Es handelt sich um eine einfache Apache-Konfiguration. Je nachdem, welche Linux-Distribution Sie haben, können Sie diese in httpd.conf ändern.

In RHEL-Systemen finden Sie die Apache-Konfiguration beispielsweise unter:

  /etc/httpd/conf/httpd.conf

Ändern Sie die Konfiguration: Listen 80 -> Listen 8880 (oder was immer Sie möchten).

Answer

Es handelt sich um eine einfache Apache-Konfiguration. Je nachdem, welche Linux-Distribution Sie haben, können Sie diese in httpd.conf ändern.

In RHEL-Systemen finden Sie die Apache-Konfiguration beispielsweise unter:

  /etc/httpd/conf/httpd.conf

Ändern Sie die Konfiguration: Listen 80 -> Listen 8880 (oder was immer Sie möchten).

FreeIPA ohne Web-UI oder Port-Änderung

Antwort1

Antwort2

Antwort3

verwandte Informationen