Difference between revisions of "IPA"
(→Server installatie) |
(→ipa-client-install) |
||
Line 47: | Line 47: | ||
===ipa-client-install=== | ===ipa-client-install=== | ||
Installeer een IPA-client als volgt (uiteraard als root): | Installeer een IPA-client als volgt (uiteraard als root): | ||
− | ipa-client-install --domain=aeskwadraat | + | ipa-client-install --domain=aeskwadraat --mkhomedir --server=vm-ipaserver.aeskwadraat --no-ntp |
Er wordt tijdens de installatie gevraagd om een gebruikersnaam, gebruik daarvoor een user met genoeg rechten (bijv. uit de group admins). | Er wordt tijdens de installatie gevraagd om een gebruikersnaam, gebruik daarvoor een user met genoeg rechten (bijv. uit de group admins). | ||
Vanwege de vreemde structuur van het netwerk kan het ipa-client-install script om de fqdn van de nieuwe client vragen. | Vanwege de vreemde structuur van het netwerk kan het ipa-client-install script om de fqdn van de nieuwe client vragen. |
Revision as of 18:23, 28 March 2013
FreeIPA is a Red Hat sponsored open source project which aims to provide an easily managed Identity, Policy and Audit (IPA) suite primarily targeted towards networks of Linux and Unix computers. FreeIPA can be compared to Novell's Identity Manager or Microsoft's Active Directory in that the goals and mechanisms used are similar.
FreeIPA currently uses 389 Directory Server for its LDAP implementation, MIT's Kerberos 5 for authentication and single sign-on, the Apache and Python for the management framework and Web UI, and (optionally) Dogtag for the integrated CA and BIND with a custom plugin for the integrated DNS. Development versions also use Samba to integrate with Microsoft's Active Directory by way of Cross Forest Trusts.
While each of the major components of FreeIPA is a pre-existing open source project it is the bundling of these components into a single manageable suite with a Comprehensive Management Interface that make FreeIPA more comparable to its proprietary software cousins, Identity Manager and Active Directory.
FreeIPA aims to provide support not just for Linux and Unix based computers but ultimately Microsoft Windows and Apple Macintosh computers also.
Contents
Server installatie
Installeer ipa-server
met alle dependencies. Zorg ervoor dat alle benodigde firewall-poorten open staan, na een schone kickstart hoeft enkel poort 7389 tcp nog geopend te worden. Vervolgens, om ipa-server te installeren zonder NTP-server:
ipa-server install -N
Na de installatie moet de server nog een beveiligings-certificaat krijgen. Voer hiervoor het volgende commando uit:
ipa-getcert request -d /etc/pki/nssdb/ -n ipaserver-cert
Client installatie
Firewall
IPA heeft een aantal poorten nodig om correct te werken:
Service | Poort | Type |
HTTP/HTTPS | 80,443 | tcp |
LDAP/LDAPS | 389,636 | tcp |
Kerberos | 88,464 | tcp,udp |
DNS | 53 | tcp,udp |
NTP | 123 | udp |
Voordat je verdergaat met de installatie moeten deze poorten open staan. Dit gebeurt standaard bij het Kickstarten, maar controleer of de configuratie klopt (doe dit bijv. met system-config-firewall-tui
).
ipa-client-install
Installeer een IPA-client als volgt (uiteraard als root):
ipa-client-install --domain=aeskwadraat --mkhomedir --server=vm-ipaserver.aeskwadraat --no-ntp
Er wordt tijdens de installatie gevraagd om een gebruikersnaam, gebruik daarvoor een user met genoeg rechten (bijv. uit de group admins). Vanwege de vreemde structuur van het netwerk kan het ipa-client-install script om de fqdn van de nieuwe client vragen.
Reboot het systeem als de installatie voltooid is.
Fedora
Bij Fedora moet er eerst nog door het firstboot-scherm doorlopen worden. Volg na de eerste keer opstarten de instructies op het scherm. Bij het aanmaken van een account, kies dan network login. Zet hierin de authenticatie op FreeIPA, realm is aeskwadraat en server is de ipa-server en vink alles aan wat aan te vinken valt. Doorloop nu de rest van het firstboot-scherm. Nu krijg je het fedora-inlog-scherm te zien, maar het is mogelijk dat ipa niet geconfigureerd is. In dat geval, ctrl+alt+F2, login als root en volg de instructies hierboven op!
sudo
Bij het kickstarten wordt de sudo-configuratie automatisch goed gezet. Zie ook sudo.