httpd 없이(웹 UI 없이) FreeIPA 서버를 설치할 수 있나요?
아니면 최소한 포트를 변경할 수 있나요?? (80->8880 및 443->8443)
답변1
아니요. 포트와 구성은 변경할 수 없습니다. 이를 변경하면 JSON-RPC 및 XML-RPC 엔드포인트가 실패할 것으로 예상하는 시스템의 다른 부분이 실패하게 됩니다. 왜냐하면 엔드포인트가 다른 어떤 것도 아닌 443에서 사용 가능하다고 가정하고 IPA 프레임워크에 대한 대체 포트를 협상하는 메커니즘이 없기 때문입니다. 그리고 클라이언트.
결과적으로 클라이언트 시스템 배포가 작동하지 않으며 명령줄을 통한 IPA 관리도 작동하지 않습니다. 웹 UI는 명령줄 도구에서 사용되는 것과 동일한 JSON-RPC 엔드포인트를 활용하는 JavaScript 애플리케이션입니다.
실제로 문제는 구성을 변경해야 하는 이유입니다. FreeIPA 마스터 노드에서 다른 애플리케이션을 호스팅하려면 이 점을 재고하는 것이 좋습니다. FreeIPA 마스터 노드는 인증 인프라를 호스팅하고 다른 모든 것을 공동 호스팅하는 것은 본질적으로 인프라 핵심을 해킹하는 데 관심이 있는 모든 사람을 위한 공격 표면을 확장합니다.
답변2
프로덕션 목적으로는 권장되지 않지만 포트 80 및 443이 다시 할당된 도커 컨테이너로 freeIPA를 실행할 수 있습니다.
FreeIPA 서버가 실행 중인 호스트뿐만 아니라 외부 시스템에서도 사용하려면 -p 옵션을 사용하여 외부에서 서비스에 액세스할 수 있도록 할 수 있습니다. 그런 다음 -e 옵션을 통해 IPA_SERVER_IP 환경 변수를 지정하여 서버가 DNS에 해당 주소로 입력해야 하는 IP 주소를 정의할 수도 있습니다. 그러면 서버를 시작하는 것이
docker run --name freeipa-server-container -ti \
-e IPA_SERVER_IP=10.12.0.98 \
-p 53:53/udp -p 53:53 \
-p 8880:80 -p 8443:443 -p 389:389 -p 636:636 -p 88:88 -p 464:464 \
-p 88:88/udp -p 464:464/udp -p 123:123/udp \
-h ipa.example.test --read-only \
-v /sys/fs/cgroup:/sys/fs/cgroup:ro \
-v /var/lib/ipa-data:/data:Z \
freeipa-server
보다freeipa 도커 이미지 정보는 여기에 있습니다.자세한 내용은.
답변3
이것은 간단한 아파치 구성입니다. 사용 중인 Linux 배포판에 따라 httpd.conf에서 변경할 수 있습니다.
예를 들어 RHEL 시스템에서는 다음 위치에서 Apache conf를 찾을 수 있습니다.
/etc/httpd/conf/httpd.conf
구성 내부를 변경하세요. Listen 80 -> Listen 8880(또는 원하는 대로).