linux:freeipa [Linuxed]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
====== Installation et configuration IPA sur CentOS 7 ======


<code>
yum install ipa-server
</code>


Puis lancer le script d'installation/configuration:


<code>
ipa-server-install
</code>


Répondre aux questions (attention, avec <1Go de RAM le script prend trop de temps et plante).


Une fois l'installation terminée:


<code>
kinit admin

klist
</code>


Et pour tester


<code>
ipa user-find admin
</code>


Il faut penser à ouvrir les ports:


<code>
firewall-cmd --zone=public --permanent --add-port=80/tcp
firewall-cmd --zone=public --permanent --add-port=443/tcp
firewall-cmd --zone=public --permanent --add-port=389/tcp
firewall-cmd --zone=public --permanent --add-port=636/tcp
firewall-cmd --zone=public --permanent --add-port=88/tcp
firewall-cmd --zone=public --permanent --add-port=464/tcp
firewall-cmd --zone=public --permanent --add-port=53/tcp
firewall-cmd --zone=public --permanent --add-port=88/udp
firewall-cmd --zone=public --permanent --add-port=464/udp
firewall-cmd --zone=public --permanent --add-port=53/udp
firewall-cmd --zone=public --permanent --add-port=123/udp
systemctl restart firewalld
</code>


L'interface web d'administration est accessible sur le port 443 en https.


Il en ensuite possible de créer des utilisateurs via IPA, qui pourront se connecter à n'importe quel serveur configuré comme client IPA.


Pour configurer la création automatique du homedir de l'utilisateur lors de sa première connexion, il faut installer oddjob-mkhomedir:


<code>
yum install oddjob-mkhomedir
</code>


Puis pour l'activer:


<code>
systemctl start oddjobd
systemctl enable oddjobd
authconfig --enablemkhomedir --update
</code>

===== Centralisation des sudoers =====


Afin de centraliser la configuration sudo sur le serveur IPA, il faut préparer un compte pour l'accès LDAP:


<code>
ldappasswd -Y GSSAPI -S -h ipa.in.noisy.linuxed.net uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net
</code>


Ainsi le binddn du compte pour se connecter au LDAP pour trouver les règles sudo sera: uid<font 13px/arial;;#000000;;#ffffff>=</font> sudo<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=</font> sysaccounts<font 13px/arial;;#000000;;#ffffff>,</font> cn<font 13px/arial;;#000000;;#ffffff>=etc,dc=in,dc=noisy,dc=</font> linuxed<font 13px/arial;;#000000;;#ffffff>,dc=net</font> 


<font 13px/arial;;#000000;;#ffffff>Les informations sudo seront stockées dans l'OU suivante:</font> ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net

====== Configuration d'un serveur client IPA ======


Sur CentOS 7:


<code>
yum install ipa-client
</code>


Il faut s'assurer que la machine utilise bien le dns du serveur IPA (voir /etc/resolv.conf).


Pour configurer le client:


<code>
ipa-client-install –enable-dns-updates
</code>


ATTENTION: a priori cela desactive SeLinux.

===== Configuration de la centralisation des sudoers =====


Il faut modifier le fichier /etc/sudo-ldap.conf pour avoir:


<file>
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=in,dc=noisy,dc=linuxed,dc=net
bindpw sudo_secret

ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes

bind_timelimit 5
timelimit 15

uri ldap://ipa.in.noisy.linuxed.net ldap://192.168.2.64
sudoers_base ou=sudoers,dc=in,dc=noisy,dc=linuxed,dc=net
</file>


Ensuite indiquer que le sudoer se trouve dans le ldap via /etc/nsswitch.conf avec une ligne suivante:


<file>
sudoers:    files ldap
</file>