Cómo instalar el servidor FreeIPA en CentOS 7
FreeIPA es una suite de Identidad, Política y Auditoría (IPA) gratuita y de código abierto patrocinada por RedHat. Es una solución IPA que combina Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS Bind, Dogtag, servidor web Apache y Python.
FreeIPA viene con la herramienta de administración de línea de comandos y una bonita interfaz de interfaz web que se ejecuta sobre Python y el servidor web Apache. Actualmente, llega a la última versión estable 4.7.0.
En este tutorial, te mostraremos cómo instalar y configurar FreeIPA en un servidor CentOS 7. Vamos a utilizar el último servidor CentOS 7 con 2GB de memoria, y a instalar la última versión estable de los paquetes de FreeIPA.
Requisitos básicos del sistema:
- Memoria recomendada 2GB de RAM o más
- RHEL o CentOS 7 o Fedora con privilegios de root
Qué vamos a hacer
- Configurar los Hosts
- Instalar los paquetes de FreeIPA
- Configurar el servidor FreeIPA
- Verificar al administrador
- Añadir un nuevo usuario
- Probar el inicio de sesión
Paso 1 – Configurar los Hosts
En primer lugar, vamos a cambiar el nombre de host del servidor, y luego editar el archivo ‘/etc/hosts’ y configurar el FQDN.
Ejecuta el siguiente comando para cambiar el nombre del servidor.
hostnamectl set-hostname ipa.hakase-labs.io
Después, edita el archivo ‘/etc/hosts’ del sistema.
vim /etc/hosts
Añade la siguiente configuración.
10.9.9.15 ipa.hakase-labs.io ipa
Guarda y cierra.
Ahora cierra la sesión del servidor y vuelve a iniciarla, luego verifica el nombre de host y el FQDN utilizando los siguientes comandos.
hostname
hostname -f
Así tendremos el servidor CentOS 7 con el nombre de host ‘ipa’ y el FQDN ‘ipa.hakase-labs.io’.
Paso 2 – Instalar los paquetes de FreeIPA
Tras configurar el nombre de host y el FQDN del servidor, vamos a instalar los paquetes de FreeIPA desde el repositorio oficial de CentOS.
Ejecuta el siguiente comando yum como root.
sudo yum install ipa-server bind-dyndb-ldap ipa-server-dns -y
Tras la instalación de los paquetes, vamos a añadir nuevos servicios al cortafuegos. Lo más importante es añadir los servicios http, https, ldap, ldaps, Kerberos y kpasswd a la configuración del cortafuegos.
Ejecuta el siguiente comando bash, y luego recarga el servicio firewalld.
for SERVICES in ntp http https ldap ldaps kerberos kpasswd dns; do firewall-cmd --permanent --add-service=$SERVICES; done
firewall-cmd --reload
Como resultado, los paquetes de FreeIPA se han instalado y todos los servicios de FreeIPA se han añadido a la configuración del cortafuegos.
Paso 3 – Configurar el servidor FreeIPA
En este paso, vamos a configurar el servidor FreeIPA y el DNS. Para ello, FreeIPA proporciona una línea de comandos interactiva. Así podemos administrar fácilmente la configuración de FreeIPA.
Ejecuta el siguiente comando para configurar el servidor FreeIPA.
ipa-server-install --setup-dns
En primer lugar, debemos configurar el nombre de host del servidor, el nombre del dominio y el nombre del REALM. Escribe tu propio nombre de dominio y el nombre del servidor como se indica a continuación, y continúa.
Server host name [ipa.hakase-labs.io]: ipa.hakase-labs.io
Please confirm the domain name [hakase-labs.io]: hakase-labs.io
Please provide a realm name [HAKASE-LABS.IO]: HAKASE-LABS.IO
Después, tienes que configurar el gestor de directorios y las contraseñas del administrador de FreeIPA. Escribe tus propias credenciales y continúa.
Directory Manager password: hakasemanager123
Password (confirm): hakasemanager123
IPA admin password: hakaseadmin123
Password (confirm): hakaseadmin123
A continuación, escribe «Sí» para la configuración del reenviador DNS. A continuación, escribe las direcciones IP de los resolutores adicionales y continúa.
Do you want to configure DNS forwarders? [yes]: yes
Do you want to configure these servers as DNS forwarders? [yes]: yes
Enter an IP address for a DNS forwarder, or press Enter to skip: 1.1.1.1
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Enter an IP address for a DNS forwarder, or press Enter to skip: Press Enter
Escribe «Sí» y continúa para buscar y crear la zona inversa que falta.
Do you want to search for missing reverse zones? [yes]: yes
Ahora se te pedirá que crees la zona inversa de la dirección IP del servidor FreeIPA. Escribe «sí» y continúa.
Do you want to create reverse zone for IP 10.9.9.15 [yes]: yes
Please specify the reverse zone name [9.9.10.in-addr.arpa.]: Press Enter
Y por último, se te pedirá que apliques todas las configuraciones anteriores al sistema. Escribe «sí» y espera a que se aplique la configuración de FreeIPA.
Continue to configure the system with these values? [no]: yes
Cuando la configuración de FreeIPA se haya completado, obtendrás el siguiente resultado.
Paso 4 – Verificar la administración
En este punto, ya hemos configurado el FreeIPA en el servidor CentOS 7. Ahora vamos a verificar nuestra configuración.
Verifica la contraseña de admin de Kerberos utilizando el comando kinit.
kinit admin
Escribe tu contraseña de administrador y asegúrate de que no hay ningún error.
Después, verifica que el usuario admin está disponible en la base de datos de FreeIPA utilizando el siguiente comando.
ipa user-find admin
A continuación, vamos a verificar la web-UI de FreeIPA admin.
Abre el navegador web, escribe el nombre de tu dominio FreeIPA en la barra de direcciones. El mío es
https://ipa.hakase-labs.io/
Y obtendrás la página de inicio de sesión de la web-UI de FreeIPA.
Accede con el usuario ‘admin’ y la contraseña que elegiste en el paso 3.
Y obtendrás el panel de administración de FreeIPA. En otras palabras, la instalación y configuración de FreeIPA en CentOS 7 es correcta.
Paso 5 – Añadir un nuevo usuario
Para este ejemplo, crearemos un nuevo usuario de FreeIPA llamado ‘hiroyuki’. Y por supuesto, puedes sustituirlo por tu propio usuario. A continuación, intenta acceder al servidor a través de SSH utilizando ese nuevo usuario.
Antes de empezar, edita la configuración del cliente LDAP para habilitar la opción «crear directorio de inicio». Ejecuta el siguiente comando.
sudo authconfig --enablemkhomedir --update
Ahora crea el ‘hiroyuki’ ejecutando el siguiente comando ipa.
ipa user-add hiroyuki --first=Sawano --last=Hiroyuki [email protected] --shell=/bin/bash --password
Escribe tu contraseña fuerte.
Después, comprueba tu usuario en el sistema FreeIPA. Asegúrate de que tienes tu usuario en el servidor.
ipa user-find hiroyuki
El nuevo usuario de FreeIPA ha sido creado y estamos listos para probarlo.
Paso 6 – Prueba de conexión
Haremos una prueba para conectarnos al servidor de FreeIPA a través de SSH desde el ordenador local, y utilizando el usuario que acabamos de crear en el paso 5, para este ejemplo es ‘hiroyuki’.
Desde tu sistema local, ejecuta el siguiente comando ssh.
ssh [email protected]
Ahora escribe tu contraseña. Cuando se complete, se te mostrará la notificación de contraseña caducada, escribe tu contraseña actual para cambiarla por la nueva.
Como resultado, ahora estás en tu directorio principal y te conectas con éxito al servidor utilizando el uso de FreeIPA que acabamos de crear.
Finalmente, la instalación y configuración de FreeIPA en el servidor CentOS 7 se ha completado con éxito.