El otro día comentaba por aquí la forma de instalar un servidor FreeIPA: 56k.es/fanta/instalacion-de-servidor-freeipa-en-redhat-10-0-parte-1
En esta segunda entrada sobre el tema voy por tanto a continuar con ese laboratorio de 4 máquinas pero ya no repitiendo la información de como se montó el freeIPA.
Recordemos el escenario:
Un laboratorio de máquinas virtuales con 4 máquinas
- freeipa1 – Servidor freeIPA master – IP: 192.168.1.200
- freeipa2 – Servidor freeIPA replica – IP: 192.168.1.201
- serverweb – Servidor web de la empresa. Por ejemplo contiene la intranet. – IP: 192.168.1.202
- workstation1 – Una estación de trabajo de un empleado por ejemplo. – IP: 192.168.1.203
Vamos a crear varios grupos:
ipa group-add empleados ipa group-add operadores
Nota: Si sale «ipa: ERROR: El ticket ha expirado» puedes hacer esto «kinit -r 14d -l 7d»
Y desde web vamos a poder ver que se han añadido correctamente 2 nuevos grupos de usuarios:
Si nos fijamos al crear el grupo se genera automaticamente un GID. Un identificativo del grupo.
Vamos a crear por tanto varios users llamados operador1, operador2, operador3 y operador4.
ipa user-add operador1 --cn=operador1 --gidnumber=1439200004 --shell=/bin/bash ipa user-add operador2 --cn=operador2 --gidnumber=1439200004 --shell=/bin/bash
Esto amigo lo hacemos en el server freeipa1 por ejemplo.
Vamos a instalar el cliente en las máquinas «serverweb» y «workstation1».
Esto lo hacemos así:
dnf install freeipa-client -y
Nota: Si la máquina no anda registrada podemoshacerlo con «rhc».
Nota2: Hemos de comprobar que tenemos en /etc/hosts añadidas estás maquinas también en todos los nodos freeIPA y porque no en los clientes tambien.
Ahora configuramos el cliente:
ipa-client-install
Si nos pide el user para hacer el enroll le podemos dar el de admin que configuramos en la parte 1.
Si actualizamos ya en la interface web veremos que ya aparece este nuevo equipo.
Hacemos lo mismo con el workstation1.
Comprobar users
Podemos probar a hacer login en la máquina serverweb por ejemplo con el user operador1. Sin olvidar que para que al acceder por primera vez genere el home se ha de hacer esto en esa máquina:
authselect enable-feature with-mkhomedir systemctl enable --now oddjobd.service
La primera vez que entremos lo mismo nos indica que la password ha caducado y que pongamos una nueva.
Por otro lado podemos desde la web restablecer la contraseña del user también como se ve en la captura:
Pinchando en users y en acciones restablecer contraseña.
El resto es ya ir probando a limitar los users, crear grupos, etc …