Table des matières

Installation et configuration IPA sur CentOS 7

yum install ipa-server

Puis lancer le script d'installation/configuration: 

ipa-server-install

​Répondre aux questions (attention, avec <1Go de RAM le script prend trop de temps et plante).

Une fois l'installation terminée: 

kinit admin

klist

Et pour tester 

ipa user-find admin

Il faut penser à ouvrir les ports: 

firewall-cmd --zone=public --permanent --add-port=80/tcp
firewall-cmd --zone=public --permanent --add-port=443/tcp
firewall-cmd --zone=public --permanent --add-port=389/tcp
firewall-cmd --zone=public --permanent --add-port=636/tcp
firewall-cmd --zone=public --permanent --add-port=88/tcp
firewall-cmd --zone=public --permanent --add-port=464/tcp
firewall-cmd --zone=public --permanent --add-port=53/tcp
firewall-cmd --zone=public --permanent --add-port=88/udp
firewall-cmd --zone=public --permanent --add-port=464/udp
firewall-cmd --zone=public --permanent --add-port=53/udp
firewall-cmd --zone=public --permanent --add-port=123/udp
​systemctl restart firewalld

L'interface web d'administration est accessible sur le port 443 en https.

Il en ensuite possible de créer des utilisateurs via IPA, qui pourront se connecter à n'importe quel serveur configuré comme client IPA.

Pour configurer la création automatique du homedir de l'utilisateur lors de sa première connexion, il faut installer oddjob-mkhomedir: 

yum install oddjob-mkhomedir

Puis pour l'activer: 

systemctl start oddjobd
systemctl enable oddjobd
authconfig --enablemkhomedir --update

Centralisation des sudoers

Afin de centraliser la configuration sudo sur le serveur IPA, il faut préparer un compte pour l'accès LDAP: 

ldappasswd -Y GSSAPI -S -h ipa.in.noisy.linuxed.net uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net

Ainsi le binddn du compte pour se connecter au LDAP pour trouver les règles sudo sera: uid<font 13px/arial;;#000000;;#ffffff>=</font> sudo<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=</font> sysaccounts<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=etc,dc=in,dc=noisy,dc=</font> linuxed<font 13px/arial;;#000000;;#ffffff>,dc=net</font>

<font 13px/arial;;#000000;;#ffffff>Les informations sudo seront stockées dans l'OU suivante:</font> ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net​

Configuration d'un serveur client IPA

Sur CentOS 7: 

yum install ipa-client

​Il faut s'assurer que la machine utilise bien le dns du serveur IPA (voir /etc/resolv.conf).

Pour configurer le client: 

ipa-client-install –enable-dns-updates

ATTENTION: a priori cela desactive SeLinux.

Configuration de la centralisation des sudoers

​Il faut modifier le fichier /etc/sudo-ldap.conf pour avoir: 

binddn uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net
bindpw sudo_secret

ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes

bind_timelimit 5
timelimit 15

uri ldap://ipa.in.noisy.linuxed.net ldap://192.168.2.64
sudoers_base ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net

Ensuite indiquer que le sudoer se trouve dans le ldap via /etc/nsswitch.conf avec une ligne suivante: 

sudoers:    files ldap