FreeIPA le client :

Pour commencer voici la machine virtuel qui servira de test pour cette procédure :

  • 2 vcpu (processeurs virtuel)
  • 4096Mo de mémoire (à voir siil y a besoin de plus)
  • 2 disques de 60 Go en RAID 1(miroir)
  • 1 carte réseau connecté auproxy (configurer en http://10.0.1.5:3128pour les besoins de l’infrastructure de test) non filtrant pour lemoment.
  • Accélération 3D par virtio
  • Système utilisé : Fedora29 bêta
  • Environnement graphiquePLASMA/KDE pour des raisons d’habitude
  • 1 utilisateur localsuper-utilisateur ‘ROOT’
  • 1 utilisateur distant ‘Testeur’

Dans un premier temps je vais me concentrer sur la mise en service du client. Nous verrons les différentes possibilités au fur et à mesure.

Pour commencer installation du système :
Ici il n’y a pas grand-chose à faire si ce n’est configurer les partitions en RAID 1 et choisir KDE Workspace en environnement. Il faut aussi ajouter les options ‘adhésion au domaine’, mais ce n’est pas utile, voir la suite.

Pensez à configurer le réseau en mettant le nom d’hôte (ici f29test1.testipa.local) et en choisissant comme DNS celui du serveur IPA (ici : 10.0.1.10)

Si vous n’avez pas ajoutél’option ‘adhésion à un domaine’, il faut installer le client FreeIPA comme suit :

Fedora

dnf install freeipa-client

Ou sur CentOS/RedHat :

yum install ipa-client

Le reste de la procédure estidentique quel que soit la version choisi.
En root : (en partant duprincipe que vous utilisiez une net-install ou une version serveur)

Il faut vous connecter avec cet utilisateur.
Si vous utilisez « SUDO »il faut rajouter ‘sudo -i’ devant chaque commande (voir ladocumentation de SUDO … LIENS DOCUMENTATION SUDO…).
Nous verrons si il y a lieu deconfigurer SUDO et les ‘display managers’ (login manager est plusexact chez moi…) par la suite, car il y a parfois des petitessubtilités à connaître.

J’ai créer un script permettant de faire toute la procédure simplement, mais il estencore à l’état embryonnaire et incomplet pour le moment. Jetermine un projet professionnel avant de reprendre le développement.En l’état il est quand même fonctionnel, mais il faut que j’yapporte des modifications pour pouvoir le faire travailler avec‘ansible’ pour pouvoir le déployer sur toutes nouvelles machinesd’un réseau automatiquement.

Le # représente votre utilisateur ‘ROOT’, il est inutile de le recopier !!! (ici mettre en gras et rouge!)

[root@f29test1 ~]# ipa-client-install –mkhomedir
This program will set up FreeIPA client.
Version 4.7.0
Discovery was successful!
Client hostname: f29test1.testipa.local
Realm: TESTIPA.LOCAL
DNS Domain: testipa.local
IPA Server: ipatest1.testipa.local
BaseDN: dc=testipa,dc=local
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Process chronyc waitsync failed to sync time!
Unable to sync time with chrony server, assuming the time is in sync. Please check that 123 UDP port is opened, and any time server is on network.

User authorized to enroll computers:admin

Password for admin@TESTIPA.LOCAL:xxxxxxxxx

Successfully retrieved CA cert
   Subject:     CN=Certificate Authority,O=TESTIPA.LOCAL
   Issuer:      CN=Certificate Authority,O=TESTIPA.LOCAL
   Valid From:  2018-10-19 10:47:57
   Valid Until: 2038-10-19 10:47:57
Enrolled in IPA realm TESTIPA.LOCAL
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm TESTIPA.LOCAL
Systemwide CA database updated.
Hostname (f29test1.testipa.local) does not have A/AAAA record.
Missing reverse record(s) for address(es): 10.0.1.102.
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring testipa.local as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
[root@f29test1~]#

Pour confirmer que l’hôte est joint au domaine :


[root@f29test1 ~]# kinit admin
Password for admin@TESTIPA.LOCAL: xxxxxxx
[root@f29test1~]#

[root@f29test1~]# ipa-join
Hôtedéjà joint.
[root@f29test1 ~]#

Pour vous connecter :

[root@f29test1~]# su- Testeur@testipa.localCreating home directory for admin.
[Testeur@f29test1~]$


Vous pouvez vous connecter par interface graphique avec votre ‘display manager’ favori en tapant :

login :Testeur@testipa.local
mdp : Mot de passe de votre utilisateur sur le domaine

Gestion des droits SUDO :

Pré-requis : Modification possible à effectuer dans /etc/sssd/sssd.conf
Il est parfois utile de faire le ménage dans le cache de sssd sur le client pour que vos modifications soient prise en compte.
Commande « ipa sudo… » à utiliser et faire des exemples
Il faut toujours ajouter le chemin absolu de votre commande lorsque vous les définissez avec « ipa sudo… »

Ajouter des captures d’écran de l’interface graphique


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *