PDF de programación - freeIPA

Adrián Cid Ramos

1

I.E.S. Gonzalo Nazareno 13/14

Índice
INTRODUCCIÓN................................................................................................................................3
RECOPILACIÓN DE DATOS.............................................................................................................6
VIRTUALIZACIÓN DEL ESCENARIO............................................................................................6
CONFIGURACIÓN DE RED..............................................................................................................7
INSTALACIÓN DE FREEIPA EN EL SERVIDOR PRINCIPAL.......................................................9
INSTALACIÓN Y CONFIGURACIÓN DE REPLICA....................................................................11
HABILITAR ACCESO A WEBUI................................................................................................11
CONFIGURACIÓN DE BIND9 CON LDAP...................................................................................13
AÑADIR CLIENTE CENTOS 6.5....................................................................................................13
ESPECIFICACIONES...................................................................................................................13
AÑADIR USUARIO EN EL SERVIDOR FREEIPA...................................................................14
PRECONFIGURACION DEL CLIENTE.....................................................................................17
1º- Deshabilitar selinux.............................................................................................................17
2º- Deshabilitar iptables............................................................................................................17
3º- Configurar el nombre del cliente.........................................................................................18
4º- Configurar la red..................................................................................................................18
5º- Configuración del archivo hosts..........................................................................................19
8º- Adaptar Kerberos.................................................................................................................19
7º- Actualizar y reiniciar............................................................................................................20
INSTALACIÓN DE PAQUETES IPA Y INTEGRACIÓN...........................................................20
ADMINISTRACIÓN DE FREEIPA..................................................................................................24
USUARIOS...................................................................................................................................24
GRUPOS DE USUARIOS............................................................................................................26
EQUIPOS.......................................................................................................................................28
GRUPOS DE EQUIPOS...............................................................................................................30
GRUPOS DE RED........................................................................................................................31
SERVICIOS HBAC.......................................................................................................................32
DNS...............................................................................................................................................34
POLÍTICA..........................................................................................................................................36
CONTROL DE ACCESO BASADO EN HOST...........................................................................36
HBAC RULES..........................................................................................................................36
SERVICIOS HBAC..................................................................................................................37
HBAC SERVICE GROUPS.....................................................................................................38
PASSWORD POLICIES...............................................................................................................41
POLÍTICA DE TICKETS DE KERBEROS.................................................................................41
AUTOMEMBER...........................................................................................................................42
CONFIGURACIÓN DE SERVIDOR IPA.........................................................................................43
CONTROL DE ACCESO BASADO EN ROLES........................................................................43
ROLES......................................................................................................................................43
OBJETOS DE SERVICIO........................................................................................................44
PERMISOS...............................................................................................................................45
PERMISOS DE AUTOSERVICIO................................................................................................45
ID RANGES..................................................................................................................................46
TRUSTS.........................................................................................................................................46
CONFIGURACIÓN......................................................................................................................47
KERBERIZAR NFS SERVER...........................................................................................................49
SERVIDOR...............................................................................................................................49
CLIENTE..................................................................................................................................50

Adrián Cid Ramos

2

I.E.S. Gonzalo Nazareno 13/14

CONCLUSIÓN..................................................................................................................................50
REFERENCIAS.................................................................................................................................51

Adrián Cid Ramos

3

I.E.S. Gonzalo Nazareno 13/14

Adrián Cid Ramos

4

I.E.S. Gonzalo Nazareno 13/14

FreeIPA

INTRODUCCIÓN

Esta herramienta se utiliza para crear un controlador de dominio entre máquinas Linux y Unix. En
FreeIPA se define el dominio y las máquinas del dominio, por lo que se proporciona una estructura
centralizada, la cual no era posible en entornos Unix.

FreeIPA trabaja con información de seguridad sobre usuarios, máquinas y servicios por identidades.
Una vez que la identidad se verifica, entonces el acceso a los servicios y recursos pasa a ser
controlada.

Por temas de eficiencia, prevención de fallos, y la facilidad que presta a la administración, los
administradores de sistemas tratan de gestionar esos servicios de forma centralizada. Esto hace de
FreeIPA una herramienta ideal para administradores, ya que históricamente, los entornos de Linux
no habían tenido este tipo de gestión.

En FreeIPA se utilizan muchos tipos de protocolos, como pueden ser NIS y Kerberos, que se
encargan de definir los dominios, mientras que los datos de otras aplicaciones pueden utilizar
LDAP.

Estas herramientas no se comunicaban entre si normalmente, o simplemente se utilizaban con
herramientas de gestión, por lo que cada aplicación tenía que ser administrada por separado y a
nivel local. La única manera de conseguir una política de identidad consistente era copiar los
archivos de configuración manualmente.

El objetivo de FreeIPA es simplificar que la sobrecarga administrativa. Los usuarios, máquinas,
servicios y políticas están configuradas en un solo lugar, con las mismas herramientas. Debido a que
FreeIPA crea un dominio, múltiples máquinas pueden utilizar la misma configuración y los mismos
recursos solo con unirse al dominio.
Los usuarios sólo tienen que inscribirse en los servicios del dominio y los administradores pueden
gestionar una única cuenta de usuario.

FreeIPA es un servidor de dominio basado en Linux y controlado mediante Linux o Unix, lo que
hace que no sea una herramienta administrativa para máquinas Windows, por lo que no admite
clientes Windows, pero si puede sincronizar con un dominio de Active Directory para permitir la
integración con servidores de Windows.

Realmente, FreeIPA no hace ninguna tarea que un administrador no pudiese realizar antes de su
existencia, ya que lo único que hace es unir todas las herramientas y hacerlo mas fácil y cómodo.

Adrián Cid Ramos

5

I.E.S. Gonzalo Nazareno 13/14

FreeIPA se divide en los siguientes apartados:

• Directorio Activo

El directorio activo está constituido sobre un servidor LDAP, el cual se encarga de la gestión de
identidades, autenticación (Kerberos), servicios de autorización y otras políticas.

La configuración o los certificados se almacenan en el servidor de directorios, almacenándose en un
sufijo calculado a partir del nombre del árbol.

El acceso a diferentes partes del árbol del directorio activo está protegidos por la configuración del
DS ACI. Algunas partes del árbol pueden estar abiertos a todo el mundo de forma anónima, otros
pueden estar abiertos sólo a los usuarios autentificados y por otra parte, los usuarios con privilegios.

Igual que el directorio activo de Windows, se comunica con el protocolo LDAPv3 estándar. Los
clientes LDAP se pueden utilizar para leer todos los objetos de identidad y pol