Различия

Показаны различия между двумя версиями страницы.

--- service:freeipa [22.08.2024 11:17] – [Установка] viacheslav
+++ service:freeipa [22.08.2024 14:33] (текущий) – удалено viacheslav
@@ Строка 1: / Строка 1: @@
-====== FreeIPA ======
-https://github.com/freeipa/freeipa-container/blob/master/README\\
-https://github.com/freeipa/freeipa-container#running-freeipa-server-container\\
-https://hub.docker.com/r/freeipa/freeipa-server/\\
-https://www.altlinux.org/FreeIPA/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_FreeIPA\\
-https://docs.altlinux.org/ru-RU/domain/10.2/html/freeipa/ch01s08.html\\
-https://freeipa.readthedocs.io/en/latest/workshop/1-server-install.html
-===== Установка =====
-Настройка для cgroup версий 1 и 2 отличается, ниже настройка для cgroup2.
-<code bash>
-# Проверка версии cgroup
-grep cgroup /proc/filesystems
-nodev   cgroup
-nodev   cgroup2
-</code>
-Если не планируется поднимать встроенный DNS, то нужно прописать IP сервера в существующем DNS, например, ''ipa.workgroup.test 192.168.1.32''.
-Docker run
-<code bash>
-docker run --name freeipa-server -ti \
--h ipa.workgroup.test --read-only \
---cgroupns=host -v /sys/fs/cgroup:/sys/fs/cgroup:rw \
---sysctl net.ipv6.conf.all.disable_ipv6=0 \
--v ~/volumes/freeipa/data:/data freeipa/freeipa-server:rocky-9 ipa-server-install --skip-mem-check
-</code>
-Docker compose (cgroups2, без DNS)
-<code yaml>
----
-services:
-  freeipa:
-    image: freeipa/freeipa-server:rocky-9
-    container_name: freeipa-server
-    restart: unless-stopped
-    ports:
-      - 123:123/udp
-      - 389:389
-      - 443:443
-      - 464:464
-      - 464:464/udp
-      - 636:636
-      - 80:80
-      - 88:88
-      - 88:88/udp
-    tty: true
-    stdin_open: true
-    cgroup: host
-    environment:
-      IPA_SERVER_HOSTNAME: ipa.workgroup.test
-      IPA_SERVER_INSTALL_OPTS: "-n workgroup.test -r WORKGROUP.TEST --skip-mem-check -U"
-      PASSWORD: "123456Qwerty"
-      TZ: "Europe/Moscow"
-    volumes:
-      - /etc/localtime:/etc/localtime:ro
-      - /sys/fs/cgroup:/sys/fs/cgroup:rw
-      - ~/volumes/freeipa/data:/data
-    sysctls:
-      - net.ipv6.conf.all.disable_ipv6=0
-</code>
-Останов и чистка данных в случае неудачной установки
-<code bash>
-docker rm -f freeipa-server
-sudo rm -rf ~/volumes/freeipa/data/*
-</code>
-Результат установки
-<code>
-he IPA Master Server will be configured with:
-Hostname:       ipa.workgroup.test
-IP address(es): 172.17.0.2
-Domain name:    workgroup.test
-Realm name:     WORKGROUP.TEST
-The CA will be configured with:
-Subject DN:   CN=Certificate Authority,O=WORKGROUP.TEST
-Subject base: O=WORKGROUP.TEST
-Chaining:     self-signed
-. You must make sure these network ports are open:
-        TCP Ports:
-          * 80, 443: HTTP/HTTPS
-          * 389, 636: LDAP/LDAPS
-          * 88, 464: kerberos
-        UDP Ports:
-          * 88, 464: kerberos
-          * 123: ntp
-. You can now obtain a kerberos ticket using the command: 'kinit admin'
-   This ticket will allow you to use the IPA tools (e.g., ipa user-add)
-   and the web user interface.
-. Kerberos requires time synchronization between clients
-   and servers for correct operation. You should consider enabling chronyd.
-Be sure to back up the CA certificates stored in /root/cacert.p12
-These files are required to create replicas. The password for these
-files is the Directory Manager password
-The ipa-server-install command was successful
-</code>
-===== Клиент =====
-<code bash>
-# Установить клиента + kerberos
-sudo apt install krb5-user freeipa-client -y
-# Список команд с кратким описанием
-ipa help commands
-# Ввод в домен
-sudo ipa-client-install --mkhomedir --hostname ubuntu.workgroup.test --domain workgroup.test --server=ipa.workgroup.test -p admin -w 123456Qwerty -U
-# Добавить пользователя с запросом пароля (--random вместо --password - случайный пароль, покажется в консоли после создания пользователя)
-ipa user-add mivanova --first=Мария --last=Иванова --password --shell=/usr/bin/bash
-# Переделать всех пользователей на оболочку bash
-for i in $(ipa user-find |grep 'User login' |cut -d: -f2); do ipa user-mod $i --shell=/usr/bin/bash; done
-# Поиск пользователя
-kinit admin
-ipa user-find vpupkin
---------------
-user matched
---------------
-  User login: vpupkin
-  First name: Василий
-  Last name: Пупкин
-  Home directory: /home/vpupkin
-  Login shell: /usr/bin/bash
-  Principal name: vpupkin@WORKGROUP.TEST
-  Principal alias: vpupkin@WORKGROUP.TEST
-  Email address: vpupkin@workgroup.test
-  UID: 247200003
-  GID: 247200003
-  Account disabled: False
-----------------------------
-Number of entries returned 1
-----------------------------
-# Поиск через LDAP
-# Общий поиск (2 результата)
-ldapsearch -x -D 'cn=Directory Manager' -w 123456Qwerty -b "dc=workgroup,dc=test" "uid=vpupkin"
-# Более подробный результат
-ldapsearch -x -D 'cn=Directory Manager' -w 123456Qwerty -b "cn=users,cn=accounts,dc=workgroup,dc=test" "uid=vpupkin"
-# Менее подробный
-ldapsearch -x -D 'cn=Directory Manager' -w 123456Qwerty -b "cn=users,cn=compat,dc=workgroup,dc=test" "uid=vpupkin"
-</code>
-==== keytab ====
-<code bash>
-# Генерация keytab, будет изменение пароля.
-# Все ранее выгруженные кейтабы этого пользователя становятся недействительными.
-$ ipa-getkeytab -p username -k username.keytab -P
-New Principal Password:
-Verify Principal Password:
-Keytab successfully retrieved and stored in: username.keytab
-# Проверка информации в кейтабе
-$ klist -kte username.keytab
-Keytab name: FILE:service.keytab
-KVNO Timestamp           Principal
----- ------------------- ------------------------------------------------------
-08/22/2024 11:01:03 service@WORKGROUP.TEST (aes256-cts-hmac-sha384-192)
-08/22/2024 11:01:03 service@WORKGROUP.TEST (aes128-cts-hmac-sha256-128)
-08/22/2024 11:01:03 service@WORKGROUP.TEST (aes256-cts-hmac-sha1-96)
-08/22/2024 11:01:03 service@WORKGROUP.TEST (aes128-cts-hmac-sha1-96)
-# Получение kerberos-билета и проверка
-$ kinit -kt username.keytab username
-$ klist
-Ticket cache: KEYRING:persistent:1000:krb_ccache_Wc0I0KA
-Default principal: service@WORKGROUP.TEST
-Valid starting       Expires              Service principal
-/22/2024 11:02:05  08/23/2024 10:48:14  krbtgt/WORKGROUP.TEST@WORKGROUP.TEST
-</code>
-https://debuntu.ru/n/sozdanie-keytab-faila-dlya-polzovatelskogo-principala/
-==== Windows ====
-<code powershell>
-# Установить модуль
-Install-Module -Name Manage-FreeIPA
-</code>
-===== Ошибки =====
-==== Configuring certificate server (pki-tomcatd) ====
-При первоначальной установке
-<code>
-Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
-  [1/30]: configuring certificate server instance
-Failed to configure CA instance
-See the installation logs and the following files/directories for more information:
-  /var/log/pki/pki-tomcat
-  [error] RuntimeError: CA configuration failed.
-CA configuration failed.
-</code>
-Надо прописывать правильный hostname в команде запуска или в docker compose.