Instalar FreeIPA | Linuxadmin

free-ipa-logo_small-8517902Después de escribir artículos para Desktop, toca un poco de Server, en este caso FreeIPA, ya hablamos un poco de APOC, una especia de active directory para Linux y ahora le toca el turno a FreeIPA, este es un poco más complejo ya que se mete por medio kerberos pero que no nos asuste.

Partimos desde una instalación de Fedora 10 limpia (sin software adicional instalado y sin software quitado) y actualizada. También instalaremos un DNS. La IP del servidor es 10.100.96.235 con el hostname freeipa.linuxadmin.es

Empezamos:

Instalamos el DNS

#yum install bind bind-chroot

Ahora el ipa-server

#yum install ipa-*

El comando anterior instalará todos los paquetes que contengan ipa-. Son unos 72 paquetes y nos ocuparan 42 MB de espacio

Configurando el DNS, cambien linuxadmin.es por lo que quieran. Vamos a tocar primero el fichero de configuración del DNS
#vi /etc/named.conf

options { listen-on port 53 { 127.0.0.1; }; listen-on-v6 port 53 { ::1; }; directory       “/var/named”; dump-file       “/var/named/data/cache_dump.db”; statistics-file “/var/named/data/named_stats.txt”; memstatistics-file “/var/named/data/named_mem_stats.txt”; allow-query     { localhost; }; recursion yes;

};

logging { channel default_debug { file “data/named.run”; severity dynamic; };

};

zone “.” IN { type hint; file “named.ca”;

};

zone “freeipa.linuxadmin.es” IN { type master; file “freeipa”; allow-update { none; };

};

zone “localhost” IN { type master; file “localhost”; allow-update { none; };

};

zone “1.0.0.127.in-addr.arpa” IN { type master; file “named.loopback”; allow-update { none; };

};

zone “235.96.100.10.in-addr.arpa” IN { type master; file “235.96.100.10″; allow-update { none; };

};

Ahora nos ponemos con los archivos de las zonas que hemos creado. Los archivos estan en /var/named/chroot/var/named

Hago un cat de cada uno

#cat freeipa

$TTL 1D @       IN SOA  @ rname.invalid. ( 0       ; serial 1D      ; refresh 1H      ; retry 1W      ; expire 3H )    ; minimum NS      @ A       10.100.96.235

AAAA    ::1

#cat localhost

$TTL 1D @       IN SOA  @ rname.invalid. ( 0       ; serial 1D      ; refresh 1H      ; retry 1W      ; expire 3H )    ; minimum NS      @ A       127.0.0.1

AAAA    ::1

#cat named.loopback

$TTL 1D @       IN SOA  @ rname.invalid. ( 0       ; serial 1D      ; refresh 1H      ; retry 1W      ; expire 3H )    ; minimum NS      @

PTR     localhost.

#cat 235.96.100.10

$TTL 1D @       IN SOA  @ rname.invalid. ( 0       ; serial 1D      ; refresh 1H      ; retry 1W      ; expire 3H )    ; minimum NS      @

PTR     freeipa.linuxadmin.es.

Listo.

Estos archivos son muy sensibles así que cuidado con los espacios y demás.

También añadiremos una entrada en el /etc/hosts (si no la tenemos añadida)

#vi /etc/hosts #adaptarlo a vuestras necesidades

10.100.96.235      freeipa.linuxadmin.es

Reiniciamos el DNS

#service named restart

Ahora empezamos a configurar el ipa-server, si este comando la algún error es que el DNS esta mal configurado.

#ipa-server-install –setup-bind

Este comando nos pedirá datos del hosts, elegir una password y poco más.

Los puertos necesarios para poder trabajar desde fuera de la red local son:

TCP

  • 80, 443: HTTP/HTTPS
  • 389, 636: LDAP/LDAPS
  • 88, 464: kerberos
  • 53: bind

UDP:

  • 88, 464: kerberos
  • 53: bind
  • 123: ntp

El cortafuegos esta activado por defecto en esta distro.

Vamos a la terminal y desde el usuario que estemos trabajando ejecutamos, no desde root:

#kinit admin

Metemos la password que hemos puesto cuando hemos configurado el ipa-server-install, este comando lo que hace es pedirle un ticket a kerberos para poder trabajar, con esto kerberos sabe que somos el usuario “admin”

Ahora toca configurar firefox, abrimos firefox y escribimos about:config en la barra de direcciones y editamos las siguientes cadenas:

  • network.negotiate-auth.trusted-uris y ponemos el dominio, (los puntos incluidos) en mi caso .linuxadmin.es.
  • network.negotiate-auth.delegation-urisy ponemos .linuxadmin.es. (puntos incluidos)

Entramos en https://fedora.linuxadmin.es

Aceptamos el certificado, importamos el certificado y marcamos las tres pestañas y pulsamos en configure firefox, cuando este todo correcto recargamos la pagina y nos deberá de aparecer lo siguiente:
La gestión de usuarios se puede gestionar por la interfaz web o por comandos tales como ipa-adduser por ejemplo. Para el que quiera saber la estructura del árbol LDAP pongo una imagen.

Y hasta aquí la parte servidor en futuras entradas meteré la parte cliente, y su configuración