Nouvelles :

Et bien voilà, après un moment de silence la documentation sur l’installation d’un client FREEIPA (Identity Manager) est disponible.

Par contre cette documentation est sujet à relecture et verra d’ici quelques jours quelques ajouts sans doute à coté pour la compléter.

Concernant le dépôt, pas de nouvelles, tout fonctionne bien pour le moment, donc je vais pouvoir terminer la mise en service du paquet pour l’installer automatiquement avec la gestion des paquets signés.

Concernant les paquets Mesa-devel :

Pour vous donner un aperçu des performances de la nouvelle configuration, il faut savoir que les paquets sont construits en moins 23 minutes par versions de Fedora et architecture sur le AMD Ryzen 7 2700x. Comme tout ce fait en parallèle, il lui faut donc bien les 23 minutes pour finir tout les paquets en même temps.
Actuellement il y a 3 versions de Fedora (Fedora 28, 29 et Rawhide en attendant Fedora 30) pour 2 architectures (32 et 64 bits) à empaqueter.
Il fallait compter environs une bonne heure pour en arriver au même résultat sur Zeus 4 et son intel i7 4771 Haswell.

A savoir que l’on doit aussi rajouter le fait que l’empaquetage ce fait sur une unité de stockage NVME M-2 qui débite 3,5Go/s en lecture max et 2,3Go/s en écriture max théoriquement. En réel c’est plus 2,8Go/s en lecture et 1,8Go/s en écriture de moyenne. A rajouter que l’utilisateur servant à réaliser ce travail est lui monté sur une unité de stockage SSD sur port SATA 3 (+/- 520Mo/s de débit lecture/écriture max).
Cela doit aider dans le temps mis pour terminer le travail, sachant que qu’avant c’était sur unité de stockage de type SSD SATA3 (480Mo/s max) + HDD lui aussi en SATA3 (220Mo/s tout de même).

Je vous dit donc à jeudi pour les nouveaux paquets et normalement à samedi pour les premiers ajouts de la documentation sur FreeIPA.

FreeIPA le client :

Pour commencer voici la machine virtuel qui servira de test pour cette procédure :

  • 2 vcpu (processeurs virtuel)
  • 4096Mo de mémoire (à voir siil y a besoin de plus)
  • 2 disques de 60 Go en RAID 1(miroir)
  • 1 carte réseau connecté auproxy (configurer en http://10.0.1.5:3128pour les besoins de l’infrastructure de test) non filtrant pour lemoment.
  • Accélération 3D par virtio
  • Système utilisé : Fedora29 bêta
  • Environnement graphiquePLASMA/KDE pour des raisons d’habitude
  • 1 utilisateur localsuper-utilisateur ‘ROOT’
  • 1 utilisateur distant ‘Testeur’

Dans un premier temps je vais me concentrer sur la mise en service du client. Nous verrons les différentes possibilités au fur et à mesure.

Pour commencer installation du système :
Ici il n’y a pas grand-chose à faire si ce n’est configurer les partitions en RAID 1 et choisir KDE Workspace en environnement. Il faut aussi ajouter les options ‘adhésion au domaine’, mais ce n’est pas utile, voir la suite.

Pensez à configurer le réseau en mettant le nom d’hôte (ici f29test1.testipa.local) et en choisissant comme DNS celui du serveur IPA (ici : 10.0.1.10)

Si vous n’avez pas ajoutél’option ‘adhésion à un domaine’, il faut installer le client FreeIPA comme suit :

Fedora

dnf install freeipa-client

Ou sur CentOS/RedHat :

yum install ipa-client

Le reste de la procédure estidentique quel que soit la version choisi.
En root : (en partant duprincipe que vous utilisiez une net-install ou une version serveur)

Il faut vous connecter avec cet utilisateur.
Si vous utilisez « SUDO »il faut rajouter ‘sudo -i’ devant chaque commande (voir ladocumentation de SUDO … LIENS DOCUMENTATION SUDO…).
Nous verrons si il y a lieu deconfigurer SUDO et les ‘display managers’ (login manager est plusexact chez moi…) par la suite, car il y a parfois des petitessubtilités à connaître.

J’ai créer un script permettant de faire toute la procédure simplement, mais il estencore à l’état embryonnaire et incomplet pour le moment. Jetermine un projet professionnel avant de reprendre le développement.En l’état il est quand même fonctionnel, mais il faut que j’yapporte des modifications pour pouvoir le faire travailler avec‘ansible’ pour pouvoir le déployer sur toutes nouvelles machinesd’un réseau automatiquement.

Le # représente votre utilisateur ‘ROOT’, il est inutile de le recopier !!! (ici mettre en gras et rouge!)

[root@f29test1 ~]# ipa-client-install –mkhomedir
This program will set up FreeIPA client.
Version 4.7.0
Discovery was successful!
Client hostname: f29test1.testipa.local
Realm: TESTIPA.LOCAL
DNS Domain: testipa.local
IPA Server: ipatest1.testipa.local
BaseDN: dc=testipa,dc=local
Continue to configure the system with these values? [no]: yes
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Process chronyc waitsync failed to sync time!
Unable to sync time with chrony server, assuming the time is in sync. Please check that 123 UDP port is opened, and any time server is on network.

User authorized to enroll computers:admin

Password for admin@TESTIPA.LOCAL:xxxxxxxxx

Successfully retrieved CA cert
   Subject:     CN=Certificate Authority,O=TESTIPA.LOCAL
   Issuer:      CN=Certificate Authority,O=TESTIPA.LOCAL
   Valid From:  2018-10-19 10:47:57
   Valid Until: 2038-10-19 10:47:57
Enrolled in IPA realm TESTIPA.LOCAL
Created /etc/ipa/default.conf
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm TESTIPA.LOCAL
Systemwide CA database updated.
Hostname (f29test1.testipa.local) does not have A/AAAA record.
Missing reverse record(s) for address(es): 10.0.1.102.
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring testipa.local as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
[root@f29test1~]#

Pour confirmer que l’hôte est joint au domaine :


[root@f29test1 ~]# kinit admin
Password for admin@TESTIPA.LOCAL: xxxxxxx
[root@f29test1~]#

[root@f29test1~]# ipa-join
Hôtedéjà joint.
[root@f29test1 ~]#

Pour vous connecter :

[root@f29test1~]# su- Testeur@testipa.localCreating home directory for admin.
[Testeur@f29test1~]$


Vous pouvez vous connecter par interface graphique avec votre ‘display manager’ favori en tapant :

login :Testeur@testipa.local
mdp : Mot de passe de votre utilisateur sur le domaine

Gestion des droits SUDO :

Pré-requis : Modification possible à effectuer dans /etc/sssd/sssd.conf
Il est parfois utile de faire le ménage dans le cache de sssd sur le client pour que vos modifications soient prise en compte.
Commande « ipa sudo… » à utiliser et faire des exemples
Il faut toujours ajouter le chemin absolu de votre commande lorsque vous les définissez avec « ipa sudo… »

Ajouter des captures d’écran de l’interface graphique


Résolution des petits soucis…

Et bien la solution palliative mise en place pour le problème d’indisponibilité du serveur à réussi. Du coup il est fonctionnel comme il faut malgré le problème.

Je vais pouvoir commencer les investigations pour le résoudre définitivement, mais bon la solution mise en place n’est pas non plus trop invasive. Du coup je pense que cela restera en place le temps de trouver une solution.

Je termine la refonte de mes espaces de stockages sur ZEUS 5, du coup j’ai encore pris du retard pour les documentations. Je repart de zéro encore une fois pour les machines virtuels, mais cela me prend sans doute plus de temps de transférer que de tout refaire. Sans compter que les expérimentations que je fais dessus font que certaines étaient devenue très instable.

En ce qui concerne le dépôt, tout est fonctionnel à part la signature des paquets qui arrive dès que possible. Je refond aussi le nouveau script pour pouvoir l’utiliser pour d’autres empaquetages. Du coup cela prendra plus de temps que prévu. Mais bon la solution actuel (avec une dose du nouveau script) fonctionne pas mal et ne demande que la prise en charge de la signature des paquets.

Sinon à part un petit souci avec l’empaquetage de la semaine dernière, les paquets étaient disponible rapidement. Le souci qu’il y a eu n’était rien de bien méchant, du coup cela ne devrait plus ce reproduire (problème d’espace de stockage et un souci de label du nouveau dossier de montage).

Je vous dit donc à bientôt pour la mise à jour des paquets de la semaine et sans doute la documentation du client FreeIPA.