===== Установка сервера FreeIPA на CentOS 7 =====

Прописать в файле //hosts// ip, FQDN, host
<code bash>
149.56.103.132  ipa1.somedomain.com     ipa1
...
</code>
Поменять hostname на FQDN
<code bash>
# cat /etc/hostname
ipa1.somedomain.com
</code>
Устанавливаем сервер FreeIPA
<code bash>
yum -y install ipa-server
</code>
Запускаем настройку сервера, отвечаем на поставленные вопросы и записываем пароль администратора и менеджера
<code bash>
ipa-server-install --mkhomedir
</code>
После установки необходимо открыть порты в firewall
<code bash>
TCP Ports:
 * 80, 443: HTTP/HTTPS
 * 389, 636: LDAP/LDAPS
 * 88, 464: kerberos
UDP Ports:
 * 88, 464: kerberos
 * 123: ntp
</code>
Для firewalld
<code bash>
firewall-cmd --permanent --add-service=ntp
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=ldap
firewall-cmd --permanent --add-service=ldaps
firewall-cmd --permanent --add-service=kerberos
firewall-cmd --permanent --add-service=kpasswd
firewall-cmd --reload
</code>
После этого открываем ресурс в браузере, переходим в IPA Server ->Configuration и прописываем /bin/bash для всех создаваемых юзеров.

===== Настройка реплики =====
Все установки FreeIPA работают по принципу master - master \\
Идем на другою ноду, например ipa2.somedomain.com и прописываем файл hosts и hostname
<code bash>
ipa2 ~]# cat /etc/hosts
*.*.*.*  ipa2.somedomain.com     ipa2
*.*.*.*  ipa1.somedomain.com     ipa1
...

# cat /etc/hostname
ipa2.somedomain.com

ipa1 ~]# cat /etc/hosts
*.*.*.*  ipa1.somedomain.com     ipa1
*.*.*.*  ipa2.somedomain.com     ipa2
...
</code>
Устанавливаем на второй ноде клиент и сервер FreeIPA
<code bash>
yum -y install ipa-client ipa-server
</code>
Подключаем ноду к серверу FreeIPA
<code bash>
ipa-client-install -v --mkhomedir --domain=somedomain.com --server=ipa1.somedomain.com --realm=SOMEDOMAIN.COM --principal=admin --password=PASSWORD
</code>
Настраиваем реплику
<code bash>
ipa-replica-install
</code>
Настраиваем реплику CA
<code bash>
ipa-ca-install
</code>

===== Установка клиента на Debian 8 =====
Необходимо установить 2 пакета: python-freeipa и freeipa-client\\
Для Debian 8 файлы можно забрать здесь http://apt.numeezy.fr
<code bash>
apt/dpkg install python-freeipa freeipa-client
</code>
Создаем директорию для хранения БД сертификатов
<code bash>
mkdir -p /etc/pki/nssdb
</code>
Создаем пустую БД
<code bash>
certutil -N -d /etc/pki/nssdb
</code>
Директория для ipa
<code bash>
mkdir -p /var/run/ipa
</code>
Подключаем ноду к серверам FreeIPA
<code bash>
ipa-client-install -v --mkhomedir --domain=somedomain.com --realm=SOMEDOMAIN.COM --server=ipa1.somedomain.com --server=ipa2.somedomain.com --fixed-primary -p admin -w PASSWD
</code>
Разрешаем создание домашних каталогов для LDAP пользователей
<code bash>
echo 'session required pam_mkhomedir.so' >> /etc/pam.d/common-session
</code>
Проверяем файл //nsswitch.conf// на наличие sss
<code bash>
passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers: files sss
</code>
Перезагружаем машинку

===== Изменение пароля админа =====
<code bash>
LDAPTLS_CACERT=/etc/ipa/ca.crt ldappasswd -ZZ -D 'cn=directory manager' -W -S uid=admin,cn=users,cn=accounts,dc=keepsolid,dc=com
</code>
=== Используемые материалы: ===
  * [[https://www.unixmen.com/configure-freeipa-server-centos-7|How To Configure FreeIPA server On CentOS 7]]
  * [[https://habrahabr.ru/company/pixonic/blog/325546/|Настройка репликации во FreeIPA 4.4 с domain level 1]]
  * [[http://www.pakjiddat.pk/articles/all/installing-freeipa-client-on-debian|Installing FreeIPA client on Debian]]
  * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/identity_management_guide/defining-sudorules|Defining sudo Rules]]