BerS Wiki

Прописать в файле hosts ip, FQDN, host

149.56.103.132  ipa1.somedomain.com     ipa1
...

Поменять hostname на FQDN

# cat /etc/hostname
ipa1.somedomain.com

Устанавливаем сервер FreeIPA

yum -y install ipa-server

Запускаем настройку сервера, отвечаем на поставленные вопросы и записываем пароль администратора и менеджера

ipa-server-install --mkhomedir

После установки необходимо открыть порты в firewall

TCP Ports:
 * 80, 443: HTTP/HTTPS
 * 389, 636: LDAP/LDAPS
 * 88, 464: kerberos
UDP Ports:
 * 88, 464: kerberos
 * 123: ntp

Для firewalld

firewall-cmd --permanent --add-service=ntp
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=ldap
firewall-cmd --permanent --add-service=ldaps
firewall-cmd --permanent --add-service=kerberos
firewall-cmd --permanent --add-service=kpasswd
firewall-cmd --reload

После этого открываем ресурс в браузере, переходим в IPA Server →Configuration и прописываем /bin/bash для всех создаваемых юзеров.

Все установки FreeIPA работают по принципу master - master
Идем на другою ноду, например ipa2.somedomain.com и прописываем файл hosts и hostname

ipa2 ~]# cat /etc/hosts
*.*.*.*  ipa2.somedomain.com     ipa2
*.*.*.*  ipa1.somedomain.com     ipa1
...
 
# cat /etc/hostname
ipa2.somedomain.com
 
ipa1 ~]# cat /etc/hosts
*.*.*.*  ipa1.somedomain.com     ipa1
*.*.*.*  ipa2.somedomain.com     ipa2
...

Устанавливаем на второй ноде клиент и сервер FreeIPA

yum -y install ipa-client ipa-server

Подключаем ноду к серверу FreeIPA

ipa-client-install -v --mkhomedir --domain=somedomain.com --server=ipa1.somedomain.com --realm=SOMEDOMAIN.COM --principal=admin --password=PASSWORD

Настраиваем реплику

ipa-replica-install

Настраиваем реплику CA

ipa-ca-install

Необходимо установить 2 пакета: python-freeipa и freeipa-client
Для Debian 8 файлы можно забрать здесь http://apt.numeezy.fr

apt/dpkg install python-freeipa freeipa-client

Создаем директорию для хранения БД сертификатов

mkdir -p /etc/pki/nssdb

Создаем пустую БД

certutil -N -d /etc/pki/nssdb

Директория для ipa

mkdir -p /var/run/ipa

Подключаем ноду к серверам FreeIPA

ipa-client-install -v --mkhomedir --domain=somedomain.com --realm=SOMEDOMAIN.COM --server=ipa1.somedomain.com --server=ipa2.somedomain.com --fixed-primary -p admin -w PASSWD

Разрешаем создание домашних каталогов для LDAP пользователей

echo 'session required pam_mkhomedir.so' >> /etc/pam.d/common-session

Проверяем файл nsswitch.conf на наличие sss

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files
 
hosts:          files dns
networks:       files
 
protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files
 
netgroup:       nis sss
sudoers: files sss

Перезагружаем машинку

LDAPTLS_CACERT=/etc/ipa/ca.crt ldappasswd -ZZ -D 'cn=directory manager' -W -S uid=admin,cn=users,cn=accounts,dc=keepsolid,dc=com

• How To Configure FreeIPA server On CentOS 7
• Настройка репликации во FreeIPA 4.4 с domain level 1
• Installing FreeIPA client on Debian
• Defining sudo Rules