LinuxTarGz: Instalar FreeIPA

Después de escribir artículos para Desktop, toca un poco de Server, en este caso FreeIPA, ya hablamos un poco de APOC, una especia de active directory para Linux y ahora le toca el turno a FreeIPA, este es un poco más complejo ya que se mete por medio kerberos pero que no nos asuste.

Partimos desde una instalación de Fedora 10 limpia (sin software adicional instalado y sin software quitado) y actualizada. También instalaremos un DNS. La IP del servidor es 10.100.96.235 con el hostname freeipa.linuxadmin.es

Empezamos:

Instalamos el DNS

#yum install bind bind-chroot

Ahora el ipa-server

#yum install ipa-*

El comando anterior instalará todos los paquetes que contengan ipa-. Son unos 72 paquetes y nos ocuparan 42 MB de espacio

Configurando el DNS, cambien linuxadmin.es por lo que quieran. Vamos a tocar primero el fichero de configuración del DNS
#vi /etc/named.conf

options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { localhost; };
recursion yes;
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

zone "freeipa.linuxadmin.es" IN {
type master;
file "freeipa";
allow-update { none; };
};

zone "localhost" IN {
type master;
file "localhost";
allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "235.96.100.10.in-addr.arpa" IN {
type master;
file "235.96.100.10";
allow-update { none; };
};

Ahora nos ponemos con los archivos de las zonas que hemos creado. Los archivos estan en /var/named/chroot/var/named

Hago un cat de cada uno

#cat freeipa

$TTL 1D
@       IN SOA @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
A       10.100.96.235
AAAA    ::1

#cat localhost

$TTL 1D
@       IN SOA @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
A       127.0.0.1
AAAA    ::1

#cat named.loopback

$TTL 1D
@       IN SOA @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
PTR     localhost.

#cat 235.96.100.10

$TTL 1D
@       IN SOA @ rname.invalid. (
0       ; serial
1D      ; refresh
1H      ; retry
1W      ; expire
3H )    ; minimum
NS      @
PTR     freeipa.linuxadmin.es.

Listo.

Estos archivos son muy sensibles así que cuidado con los espacios y demás.

También añadiremos una entrada en el /etc/hosts (si no la tenemos añadida)

#vi /etc/hosts #adaptarlo a vuestras necesidades

10.100.96.235 freeipa.linuxadmin.es

Reiniciamos el DNS

#service named restart

Ahora empezamos a configurar el ipa-server, si este comando la algún error es que el DNS esta mal configurado.

#ipa-server-install --setup-bind

Este comando nos pedirá datos del hosts, elegir una password y poco más.

Los puertos necesarios para poder trabajar desde fuera de la red local son:

TCP

80, 443: HTTP/HTTPS

389, 636: LDAP/LDAPS

88, 464: kerberos

53: bind

UDP:

88, 464: kerberos

53: bind

123: ntp

El cortafuegos esta activado por defecto en esta distro.

Vamos a la terminal y desde el usuario que estemos trabajando ejecutamos, no desde root:

#kinit admin

Metemos la password que hemos puesto cuando hemos configurado el ipa-server-install, este comando lo que hace es pedirle un ticket a kerberos para poder trabajar, con esto kerberos sabe que somos el usuario "admin"

Ahora toca configurar firefox, abrimos firefox y escribimos about:config en la barra de direcciones y editamos las siguientes cadenas:

network.negotiate-auth.trusted-uris y ponemos el dominio, (los puntos incluidos) en mi caso .linuxadmin.es.

network.negotiate-auth.delegation-urisy ponemos .linuxadmin.es. (puntos incluidos)

Entramos en https://fedora.linuxadmin.es

Aceptamos el certificado, importamos el certificado y marcamos las tres pestañas y pulsamos en configure firefox, cuando este todo correcto recargamos la pagina y nos deberá de aparecer lo siguiente:

La gestión de usuarios se puede gestionar por la interfaz web o por comandos tales como ipa-adduser por ejemplo. Para el que quiera saber la estructura del árbol LDAP pongo una imagen.