Sicher verstaut - Deduplizierung spart Platz, Cloud-Backup für Windows, Areca sichert kostenlos. ADMIN 01/14 stellt Backups für Profis mit und ohne Cloud ... (mehr)

FreeIPA ausprobieren

FreeIPA liegt aktuell in der Version 3.3.3 vor und lässt sich am einfachsten mit Fedora ausprobieren. Die Version 3.2 ist beispielsweise in den Paketquellen von Fedara 19 enthalten – nach dem Aktivieren des Repository »fedora-updates-testing« auch in der aktuellen Version 3.3.3. Optional gibt es den Quellcode unter [9] .

Zum Aufsetzen des FreeIPA-Servers genügt es, das Paket »freeipa-server« zu installieren, was unter Fedora 19 das Auflösen einer stattlichen Anzahl von Abhängigkeiten nach sich zieht: rund 70 Pakete einschließlich »krb5« , »nss-tools« , »389-ds-base« , »certmonger« und so weiter. Ein eigener DNS-Server ist nicht zwingend erforderlich, weil FreeIPA auch das Einbinden eines existierenden DNS erlaubt. Will man selber den Namensdienst betreiben, muss man außerdem das LDAP-Backend-Plugin für BIND in Form des Paketes »bind-dyndb-ldap« installieren.

Zur Grundkonfiguration des FreeIPA-Domänen-Controllers dient das Skript »ipa-server-install« , das entweder interaktiv eine Anzahl von Parametern abfragt oder die Argumente als Parameter erwartet, wie zum Beispiel »-n« (Domain-Name) , »-r« (Realm-Name), »-p« (Master-Passwort) oder »-a« (Admin-Passwort). Ferner wird mit »-setup-dns« bei Bedarf eine DNS-Zone generiert und ein DNS-Server konfiguriert, was allerdings erfordert, mit »-forwarder« einen externen DNS-Forwarder anzugeben oder die Option »-no-forwarders« zu verwenden.

Mit »-U« (unmaintained) lässt sich auch jede Nutzer-Interaktion unterdrücken, was voraussetzt, alle benötigten Parameter beim Aufruf zu übergeben. Das Setup eines DNS kann allerdings auch später mit »ipa-dns-install« erfolgen. Ein Vorteil des eigenen DNS besteht darin, dass dieser sowohl A- und PTR-Records für sämtliche Domänen-Mitglieder als auch Service-Records zur Verfügung stellt. Clients haben dann die Möglichkeit, den richtigen Kerberos- beziehungsweise LDAP-Server über ein DNS-Recovery zu ermitteln.

Im Beispiel kommt die interaktive Variante zum Einsatz, bei der per Default keine DNS-Konfiguration stattfindet.Das Skript erzeugt und konfiguriert eine Instanz des 389-DS, erzeugt und konfiguriert ein KDC, richtet den Apache-Webserver für den Zugriff auf das Web-Interface ein, konfiguriert den NTP-Daemon und eine Standalone-CA für das Dogtag-Certificate-Management-System. Im Anschluss an die Frage, ob das System einen DNS konfigurieren soll oder nicht, ist der vollständige FQDN des FreeIPA-Servers anzugeben. Gleiches gilt anschließend für den Domain-Namen (ohne Host-Teil) und den Kerberos-Realm, bei dem sich ebenfalls in der Regel der Default-Vorschlag übernehmen lässt.

Service-Vielfalt

Nach erfolgreicher Installation zeigt das Skript eine Zusammenfassung der konfigurierten Ports für das Web-Interface (HTTP 80, HTTPS 443), 389-DS (LDAP 389, LDAPS 636) und Kerberos (88, 464) sowie der benötigten und konfigurierten UDP-Ports an.

FreeIPA lässt sich wahlweise vollständig über das Kommandozeilenwerkzeug »ipa« oder über das Web-Interface administrieren.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023