среда, 1 августа 2018 г.

Установка freeipa сервера.

FreeIPA - как OpenSource альтернатива Active Directory. FreeIPA включает в себя наработки многих проектов: 389DS, MIT Kerberos, NTP и BIND. Имеет web-интерфейс управления.
Подготовка системы
ОС 64x. на базе CentOS.

Обновляемся: yum update . Перезагружаемся.
Отключение SeLinux:
sudo sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config
1.     Ставим пакеты freeipa и dns:
yum -y install bind bind-dyndb-ldap ipa-server*
2.      Настраиваем сеть: задаем статический адрес, в качестве dns указываем локальный Ip-сервера. Т.к Сервер FreeIPA будет выступать также и в качестве DNS сервера.
В сетевых настройках ставим dns локального сервера freeipa самого себя - 192.168.4.200
В нашем случае настройки следующие:
IP: 192.168.4.200   Шлюз: 192.168.4.1    DNS: 192.168.4.200
mcedit /etc/sysconfig/network-scripts/ifcfg-enp0s3
Изменяем строку: DNS1=192.168.4.200
Перезапуск сетевых настроек: systemctl restart network
4.     Задаем имя сервера: hostnamectl set-hostname srv1.ipa.loc , команда добавит строку srv1.ipa.loc в файл /etc/hostname
5.     В /etc/hosts добавляем имя сервера в формате FQDN
192.168.4.200 srv1.ipa.local srv1
Проверка:
ping srv1
PING srv1.ipa.local (192.168.4.200) 56(84) bytes of data.
64 bytes from srv1.ipa.local (192.168.4.200): icmp_seq=1 ttl=64 time=0.034 ms
64 bytes from srv1.ipa.local (192.168.4.200): icmp_seq=2 ttl=64 time=0.052 ms
6.      Конфигурируем freeipa сервер:[root@srv1 ~]# ipa-server-install --setup-dns --mkhomedir


The log file for this installation can be found in /var/log/ipaserver-install.log

This program will set up the FreeIPA Server.

This includes:
  * Configure a stand-alone CA (dogtag) for certificate management
  * Configure the Network Time Daemon (ntpd)
  * Create and configure an instance of Directory Server
  * Create and configure a Kerberos Key Distribution Center (KDC)
  * Configure Apache (httpd)
  * Configure DNS (bind)
  * Configure the KDC to enable PKINIT

To accept the default shown in brackets, press the Enter key.
WARNING: conflicting time&date synchronization service 'chronyd' will be disabled
in favor of ntpd

Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
Example: master.example.com.

Server host name [srv1.ipa.local]:enter

Warning: skipping DNS resolution of host srv1.ipa.local
The domain name has been determined based on the host name.

Please confirm the domain name [ipa.local]:enter
The kerberos protocol requires a Realm name to be defined.
This is typically the domain name converted to uppercase.

Please provide a realm name [IPA.LOCAL]:enter
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password:
Password (confirm):

The IPA server requires an administrative user, named 'admin'.
This user is a regular system account used for IPA server administration.

IPA admin password:
Password (confirm):

Checking DNS domain ipa.local., please wait ...
Do you want to configure DNS forwarders? [yes]:enter
Following DNS servers are configured in /etc/resolv.conf: 8.8.8.8
Do you want to configure these servers as DNS forwarders? [yes]:
All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now:
Enter an IP address for a DNS forwarder, or press Enter to skip:
Checking DNS forwarders, please wait ...
Do you want to search for missing reverse zones? [yes]:
Do you want to create reverse zone for IP 192.168.4.200 [yes]:
Please specify the reverse zone name [4.168.192.in-addr.arpa.]:
Using reverse zone(s) 4.168.192.in-addr.arpa.

The IPA Master Server will be configured with:
Hostname:       srv1.ipa.local
IP address(es): 192.168.4.200
Domain name:    ipa.local
Realm name:     IPA.LOCAL

BIND DNS server will be configured to serve IPA domain with:
Forwarders:       8.8.8.8
Forward policy:   only
Reverse zone(s):  4.168.192.in-addr.arpa.
Continue to configure the system with these values? [no]:yes

7.      После  настройки проверим все ли работает:
Ping ya.ru – должен прийти ответ.
Получить билет:
[root@srv1 etc]# kinit admin
Password for admin@IPA.LOC:
Запросит ввести пароль для admin который задали при конфигурировании freeipa
Удалить полученные билеты из кэша:
$ kdestroy
Просмотреть полученные билеты:
$ klist
8.      Попробуем вывести информацию о пользователе admin:
[root@srv1 etc]# ipa user-find admin
1 user matched
--------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@IPA.LOC
  UID: 1077000000
  GID: 1077000000
  Account disabled: False
----------------------------
Number of entries returned 1

Кроме это должна появится возможность доступа к web-интерфейсу freeipa:
https://srv1.ipa.loc/ipa/ui
Для входа с другого пк добавьте в hosts соответствие ip адреса сервера и его имени, например:
192.168.4.200 srv1.ipa.loc
8.      Настройку пользователей freeipa, можно производить в web-интерфейсе. http://srv1.ipa.loc
9.     Удаление конфигурации freeipa:
ipa-server-install --uninstall