Google+

lunes, 11 de mayo de 2009

Instalar FreeIPA


Después de escribir artículos para Desktop, toca un poco de Server, en este caso FreeIPA, ya hablamos un poco de APOC, una especia de active directory para Linux y ahora le toca el turno a FreeIPA, este es un poco más complejo ya que se mete por medio kerberos pero que no nos asuste.

Partimos desde una instalación de Fedora 10 limpia (sin software adicional instalado y sin software quitado) y actualizada. También instalaremos un DNS. La IP del servidor es 10.100.96.235 con el hostname freeipa.linuxadmin.es

Empezamos:

Instalamos el DNS

#yum install bind bind-chroot

Ahora el ipa-server

#yum install ipa-*

El comando anterior instalará todos los paquetes que contengan ipa-. Son unos 72 paquetes y nos ocuparan 42 MB de espacio

Configurando el DNS, cambien linuxadmin.es por lo que quieran. Vamos a tocar primero el fichero de configuración del DNS
#vi /etc/named.conf
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { localhost; };
recursion yes;
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

zone "freeipa.linuxadmin.es" IN {
type master;
file "freeipa";
allow-update { none; };
};

zone "localhost" IN {
type master;
file "localhost";
allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "235.96.100.10.in-addr.arpa" IN {
type master;
file "235.96.100.10";
allow-update { none; };
};

Ahora nos ponemos con los archivos de las zonas que hemos creado. Los archivos estan en /var/named/chroot/var/named

Hago un cat de cada uno

#cat freeipa
$TTL 1D
@       IN SOA  @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
A       10.100.96.235
AAAA    ::1

#cat localhost
$TTL 1D
@       IN SOA  @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
A       127.0.0.1
AAAA    ::1

#cat named.loopback
$TTL 1D
@       IN SOA  @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
PTR     localhost.

#cat 235.96.100.10
$TTL 1D
@       IN SOA  @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
PTR     freeipa.linuxadmin.es.

Listo.

Estos archivos son muy sensibles así que cuidado con los espacios y demás.

También añadiremos una entrada en el /etc/hosts (si no la tenemos añadida)

#vi /etc/hosts #adaptarlo a vuestras necesidades

10.100.96.235      freeipa.linuxadmin.es

Reiniciamos el DNS

#service named restart

Ahora empezamos a configurar el ipa-server, si este comando la algún error es que el DNS esta mal configurado.

#ipa-server-install --setup-bind

Este comando nos pedirá datos del hosts, elegir una password y poco más.

Los puertos necesarios para poder trabajar desde fuera de la red local son:

TCP

  • 80, 443: HTTP/HTTPS

  • 389, 636: LDAP/LDAPS

  • 88, 464: kerberos

  • 53: bind


UDP:

  • 88, 464: kerberos

  • 53: bind

  • 123: ntp


El cortafuegos esta activado por defecto en esta distro.

Vamos a la terminal y desde el usuario que estemos trabajando ejecutamos, no desde root:

#kinit admin

Metemos la password que hemos puesto cuando hemos configurado el ipa-server-install, este comando lo que hace es pedirle un ticket a kerberos para poder trabajar, con esto kerberos sabe que somos el usuario "admin"

Ahora toca configurar firefox, abrimos firefox y escribimos about:config en la barra de direcciones y editamos las siguientes cadenas:

  • network.negotiate-auth.trusted-uris y ponemos el dominio, (los puntos incluidos) en mi caso .linuxadmin.es.

  • network.negotiate-auth.delegation-urisy ponemos .linuxadmin.es. (puntos incluidos)


Entramos en https://fedora.linuxadmin.es

Aceptamos el certificado, importamos el certificado y marcamos las tres pestañas y pulsamos en configure firefox, cuando este todo correcto recargamos la pagina y nos deberá de aparecer lo siguiente:

La gestión de usuarios se puede gestionar por la interfaz web o por comandos tales como ipa-adduser por ejemplo. Para el que quiera saber la estructura del árbol LDAP pongo una imagen.

Y hasta aquí la parte servidor en futuras entradas meteré la parte cliente, y su configuración