En anteriores artículos creamos un servidor FreeIPA y un servidor replica FreeIPA. Hoy veremos como agregar y conectar un cliente Linux Fedora.
Los comandos los ejecutaremos desde la cuenta root en un Fedora 16 actualizado al día de hoy.
-Instalamos el cliente
yum install freeipa-client --enablerepo=updates-testing
-En caso de ser nuestra estacion de trabajo o de una persona que requerira trabajar con la administración de FreeIPA, el comando seria:
yum install freeipa-client freeipa-admintools --enablerepo=updates-testing
-Ejecutamos el script
ipa-client-install --server ipatest.example.com --domain example.com
DNS domain 'example.com' is not configured for automatic KDC address lookup.
KDC address will be set to fixed value.
Discovery was successful!
Hostname: vefemeca.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: ipatest.example.com
BaseDN: dc=example,dc=com
Continue to configure the system with these values? [no]:yes
DNS domain 'example.com' is not configured for automatic KDC address lookup.
KDC address will be set to fixed value.
Discovery was successful!
Hostname: vefemeca.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: ipatest.example.com
BaseDN: dc=example,dc=com
Continue to configure the system with these values? [no]:yes
User authorized to enroll computers: admin
Synchronizing time with KDC...
Password for admin@EXAMPLE.COM:
Enrolled in IPA realm EXAMPLE.COM
Created /etc/ipa/default.conf
New SSSD config will be created.
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm EXAMPLE.COM
Warning: Hostname (vefemeca.example.com) not found in DNS
Failed to update DNS A record. (Command '/usr/bin/nsupdate -g /etc/ipa/.dns_update.txt' returned non-zero exit status 1)
SSSD enabled
NTP enabled
Client configuration complete.
Synchronizing time with KDC...
Password for admin@EXAMPLE.COM:
Enrolled in IPA realm EXAMPLE.COM
Created /etc/ipa/default.conf
New SSSD config will be created.
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm EXAMPLE.COM
Warning: Hostname (vefemeca.example.com) not found in DNS
Failed to update DNS A record. (Command '/usr/bin/nsupdate -g /etc/ipa/.dns_update.txt' returned non-zero exit status 1)
SSSD enabled
NTP enabled
Client configuration complete.
En este caso da un warning debido a que no tengo (ni quiero) un campo A en la zona DNS para esta pc con Fedora. Pero no es problema.
-Abrimos firefox y apuntamos a https://ipatest.example.com. En caso de no mostrar la interfaz administrativa de FreeIPA si no da el siguiente error mostrado en la imagen
-Le damos click a "follow these directions"
-Importamos el certificado del server FreeIPA dando click en el link mostrado
-Activamos las opciones mostradas y damos click en Ok
-Damos click en el botón "Configure Firefox" y con esto nos queda configurado nuestro browser.
En caso de tener otro equipo al que no le hemos instalado el cliente FreeIPA o no es nuestro, ejemplo, el pc en la casa, que no es de la oficina.
Opción 1
-Para conectarnos desde un equipo que no tenga el cliente kerberos de FreeIPA. Comenzamos copiando la conf de kerberos al equipo que no tiene el cliente.
scp root@ipa.example.com:/etc/krb5.conf /etc/krb5_ipa.conf
-Activamos la variable apuntando a este conf
export KRB5_CONFIG=/etc/krb5_ipa.conf
Opción 2
-Modificamos la conf de apache en el server FreeIPA para que permita logearse con contraseña desde un browser sin kerberos
vi /etc/httpd/conf.d/ipa.conf
# Protect /ipa with Kerberos
<Location "/ipa">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate on
KrbMethodK5Passwd on
KrbServiceName HTTP
KrbAuthRealms TMG.COM
Krb5KeyTab /etc/httpd/conf/ipa.keytab
KrbSaveCredentials on
Require valid-user
ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>
-Reiniciamos apache
service httpd restart
-Hacemos el anterior cambio en el servidor replica.
-La interfaz Web de FreeIPA
Disfrútenlo
-Importamos el certificado del server FreeIPA dando click en el link mostrado
-Activamos las opciones mostradas y damos click en Ok
-Damos click en el botón "Configure Firefox" y con esto nos queda configurado nuestro browser.
En caso de tener otro equipo al que no le hemos instalado el cliente FreeIPA o no es nuestro, ejemplo, el pc en la casa, que no es de la oficina.
Opción 1
-Para conectarnos desde un equipo que no tenga el cliente kerberos de FreeIPA. Comenzamos copiando la conf de kerberos al equipo que no tiene el cliente.
scp root@ipa.example.com:/etc/krb5.conf /etc/krb5_ipa.conf
-Activamos la variable apuntando a este conf
export KRB5_CONFIG=/etc/krb5_ipa.conf
Opción 2
-Modificamos la conf de apache en el server FreeIPA para que permita logearse con contraseña desde un browser sin kerberos
vi /etc/httpd/conf.d/ipa.conf
# Protect /ipa with Kerberos
<Location "/ipa">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate on
KrbMethodK5Passwd on
KrbServiceName HTTP
KrbAuthRealms TMG.COM
Krb5KeyTab /etc/httpd/conf/ipa.keytab
KrbSaveCredentials on
Require valid-user
ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>
-Reiniciamos apache
service httpd restart
-Hacemos el anterior cambio en el servidor replica.
-La interfaz Web de FreeIPA
Disfrútenlo
No hay comentarios:
Publicar un comentario
Dejame un comentario, aprecio la retroalimentacion. Leave me a comment, I appreciate the feedback.