Installation et configuration IPA sur CentOS 7
yum install ipa-server
Puis lancer le script d'installation/configuration:
ipa-server-install
Répondre aux questions (attention, avec <1Go de RAM le script prend trop de temps et plante).
Une fois l'installation terminée:
kinit admin klist
Et pour tester
ipa user-find admin
Il faut penser à ouvrir les ports:
firewall-cmd --zone=public --permanent --add-port=80/tcp firewall-cmd --zone=public --permanent --add-port=443/tcp firewall-cmd --zone=public --permanent --add-port=389/tcp firewall-cmd --zone=public --permanent --add-port=636/tcp firewall-cmd --zone=public --permanent --add-port=88/tcp firewall-cmd --zone=public --permanent --add-port=464/tcp firewall-cmd --zone=public --permanent --add-port=53/tcp firewall-cmd --zone=public --permanent --add-port=88/udp firewall-cmd --zone=public --permanent --add-port=464/udp firewall-cmd --zone=public --permanent --add-port=53/udp firewall-cmd --zone=public --permanent --add-port=123/udp systemctl restart firewalld
L'interface web d'administration est accessible sur le port 443 en https.
Il en ensuite possible de créer des utilisateurs via IPA, qui pourront se connecter à n'importe quel serveur configuré comme client IPA.
Pour configurer la création automatique du homedir de l'utilisateur lors de sa première connexion, il faut installer oddjob-mkhomedir:
yum install oddjob-mkhomedir
Puis pour l'activer:
systemctl start oddjobd systemctl enable oddjobd authconfig --enablemkhomedir --update
Centralisation des sudoers
Afin de centraliser la configuration sudo sur le serveur IPA, il faut préparer un compte pour l'accès LDAP:
ldappasswd -Y GSSAPI -S -h ipa.in.noisy.linuxed.net uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net
Ainsi le binddn du compte pour se connecter au LDAP pour trouver les règles sudo sera: uid<font 13px/arial;;#000000;;#ffffff>=</font> sudo<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=</font> sysaccounts<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=etc,dc=in,dc=noisy,dc=</font> linuxed<font 13px/arial;;#000000;;#ffffff>,dc=net</font>
<font 13px/arial;;#000000;;#ffffff>Les informations sudo seront stockées dans l'OU suivante:</font> ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net
Configuration d'un serveur client IPA
Sur CentOS 7:
yum install ipa-client
Il faut s'assurer que la machine utilise bien le dns du serveur IPA (voir /etc/resolv.conf).
Pour configurer le client:
ipa-client-install –enable-dns-updates
ATTENTION: a priori cela desactive SeLinux.
Configuration de la centralisation des sudoers
Il faut modifier le fichier /etc/sudo-ldap.conf pour avoir:
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net bindpw sudo_secret ssl start_tls tls_cacertfile /etc/ipa/ca.crt tls_checkpeer yes bind_timelimit 5 timelimit 15 uri ldap://ipa.in.noisy.linuxed.net ldap://192.168.2.64 sudoers_base ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net
Ensuite indiquer que le sudoer se trouve dans le ldap via /etc/nsswitch.conf avec une ligne suivante:
sudoers: files ldap