Различия

Показаны различия между двумя версиями страницы.

--- idm:freeipa [2017/11/24 09:52] – bers
+++ idm:freeipa [2017/12/08 08:03] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 29: / Строка 29: @@
  * 123: ntp
 </code>
+Для firewalld
+<code bash>
+firewall-cmd --permanent --add-service=ntp
+firewall-cmd --permanent --add-service=http
+firewall-cmd --permanent --add-service=https
+firewall-cmd --permanent --add-service=ldap
+firewall-cmd --permanent --add-service=ldaps
+firewall-cmd --permanent --add-service=kerberos
+firewall-cmd --permanent --add-service=kpasswd
+firewall-cmd --reload
+</code>
+После этого открываем ресурс в браузере, переходим в IPA Server ->Configuration и прописываем /bin/bash для всех создаваемых юзеров.
+===== Настройка реплики =====
+Все установки FreeIPA работают по принципу master - master \\
+Идем на другою ноду, например ipa2.somedomain.com и прописываем файл hosts и hostname
+<code bash>
+ipa2 ~]# cat /etc/hosts
+*.*.*.*  ipa2.somedomain.com     ipa2
+*.*.*.*  ipa1.somedomain.com     ipa1
+...
+# cat /etc/hostname
+ipa2.somedomain.com
+ipa1 ~]# cat /etc/hosts
+*.*.*.*  ipa1.somedomain.com     ipa1
+*.*.*.*  ipa2.somedomain.com     ipa2
+...
+</code>
+Устанавливаем на второй ноде клиент и сервер FreeIPA
+<code bash>
+yum -y install ipa-client ipa-server
+</code>
+Подключаем ноду к серверу FreeIPA
+<code bash>
+ipa-client-install -v --mkhomedir --domain=somedomain.com --server=ipa1.somedomain.com --realm=SOMEDOMAIN.COM --principal=admin --password=PASSWORD
+</code>
+Настраиваем реплику
+<code bash>
+ipa-replica-install
+</code>
+Настраиваем реплику CA
+<code bash>
+ipa-ca-install
+</code>
+===== Установка клиента на Debian 8 =====
+Необходимо установить 2 пакета: python-freeipa и freeipa-client\\
+Для Debian 8 файлы можно забрать здесь http://apt.numeezy.fr
+<code bash>
+apt/dpkg install python-freeipa freeipa-client
+</code>
+Создаем директорию для хранения БД сертификатов
+<code bash>
+mkdir -p /etc/pki/nssdb
+</code>
+Создаем пустую БД
+<code bash>
+certutil -N -d /etc/pki/nssdb
+</code>
+Директория для ipa
+<code bash>
+mkdir -p /var/run/ipa
+</code>
+Подключаем ноду к серверам FreeIPA
+<code bash>
+ipa-client-install -v --mkhomedir --domain=somedomain.com --realm=SOMEDOMAIN.COM --server=ipa1.somedomain.com --server=ipa2.somedomain.com --fixed-primary -p admin -w PASSWD
+</code>
+Разрешаем создание домашних каталогов для LDAP пользователей
+<code bash>
+echo 'session required pam_mkhomedir.so' >> /etc/pam.d/common-session
+</code>
+Проверяем файл //nsswitch.conf// на наличие sss
+<code bash>
+passwd:         compat sss
+group:          compat sss
+shadow:         compat sss
+gshadow:        files
+hosts:          files dns
+networks:       files
+protocols:      db files
+services:       db files sss
+ethers:         db files
+rpc:            db files
+netgroup:       nis sss
+sudoers: files sss
+</code>
+Перезагружаем машинку
+===== Изменение пароля админа =====
+<code bash>
+LDAPTLS_CACERT=/etc/ipa/ca.crt ldappasswd -ZZ -D 'cn=directory manager' -W -S uid=admin,cn=users,cn=accounts,dc=keepsolid,dc=com
+</code>
+=== Используемые материалы: ===
+  * [[https://www.unixmen.com/configure-freeipa-server-centos-7|How To Configure FreeIPA server On CentOS 7]]
+  * [[https://habrahabr.ru/company/pixonic/blog/325546/|Настройка репликации во FreeIPA 4.4 с domain level 1]]
+  * [[http://www.pakjiddat.pk/articles/all/installing-freeipa-client-on-debian|Installing FreeIPA client on Debian]]
+  * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/identity_management_guide/defining-sudorules|Defining sudo Rules]]