Usando Linux para muchas cosas y disfrutando de videojuegos, en dispositivos moviles, consolas y pc. Using Linux for many things and enjoying video games, mobile devices, consoles and pc

Como agregar un cliente Fedora 16 o sin cliente a FreeIPA

En anteriores artículos creamos un servidor FreeIPA y un servidor replica FreeIPA. Hoy veremos como agregar y conectar un cliente Linux Fedora.
Los comandos los ejecutaremos desde la cuenta root en un Fedora 16 actualizado al día de hoy.

-Instalamos el cliente
yum install freeipa-client --enablerepo=updates-testing

-En caso de ser nuestra estacion de trabajo o de una persona que requerira trabajar con la administración de FreeIPA, el comando seria:

yum install freeipa-client freeipa-admintools --enablerepo=updates-testing

-Ejecutamos el script

ipa-client-install --server ipatest.example.com --domain example.com
DNS domain 'example.com' is not configured for automatic KDC address lookup.
KDC address will be set to fixed value.

Discovery was successful!
Hostname: vefemeca.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: ipatest.example.com
BaseDN: dc=example,dc=com


Continue to configure the system with these values? [no]:yes

User authorized to enroll computers: admin
Synchronizing time with KDC...
Password for admin@EXAMPLE.COM:

Enrolled in IPA realm EXAMPLE.COM
Created /etc/ipa/default.conf
New SSSD config will be created.
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm EXAMPLE.COM
Warning: Hostname (vefemeca.example.com) not found in DNS
Failed to update DNS A record. (Command '/usr/bin/nsupdate -g /etc/ipa/.dns_update.txt' returned non-zero exit status 1)
SSSD enabled
NTP enabled
Client configuration complete.

En este caso da un warning debido a que no tengo (ni quiero) un campo A en la zona DNS para esta pc con Fedora. Pero no es problema.

-Abrimos firefox y apuntamos a https://ipatest.example.com. En caso de no mostrar la interfaz administrativa de FreeIPA si no da el siguiente error mostrado en la imagen

-Le damos click a "follow these directions"
-Importamos el certificado del server FreeIPA dando click en el link mostrado
-Activamos las opciones mostradas y damos click en Ok
-Damos click en el botón "Configure Firefox" y con esto nos queda configurado nuestro browser.

En caso de tener otro equipo al que no le hemos instalado el cliente FreeIPA o no es nuestro, ejemplo, el pc en la casa, que no es de la oficina.

Opción 1

-Para conectarnos desde un equipo que no tenga el cliente kerberos de FreeIPA. Comenzamos copiando la conf de kerberos al equipo que no tiene el cliente.

scp root@ipa.example.com:/etc/krb5.conf /etc/krb5_ipa.conf

-Activamos la variable apuntando a este conf

export KRB5_CONFIG=/etc/krb5_ipa.conf

Opción 2

-Modificamos la conf de apache en el server FreeIPA para que permita logearse con contraseña desde un browser sin kerberos

vi /etc/httpd/conf.d/ipa.conf
# Protect /ipa with Kerberos
<Location "/ipa">
  AuthType Kerberos
  AuthName "Kerberos Login"
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  KrbServiceName HTTP
  KrbAuthRealms TMG.COM
  Krb5KeyTab /etc/httpd/conf/ipa.keytab
  KrbSaveCredentials on
  Require valid-user
  ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>

-Reiniciamos apache

service httpd restart

-Hacemos el anterior cambio en el servidor replica.

-La interfaz Web de FreeIPA


Disfrútenlo
Share/Bookmark