Skip to content

Установка FreeIPA

Предустановка необходимых утилит: 

sudo dnf install dnsutils

Важные условия нужно проверить на хосте freeipa:

  • hostname != localhost (sudo hostname - should not return localhost)
  • hostname must be FQDN (verify FQDN hostname -f)
  • hostname must be resolvable (verify forward dns: host $(hostname -f))
  • reverse of address that it resolves to must match the hostname. (verify the reverse DNS host $(hostname -i))

Открыть TCP ports for FreeIPA:

  • 389,636(ldap(s)),
  • 88 kerberos,
  • 464 kpasswd
iptables -A access -p tcp -m tcp -m multiport --dports 389,636 -j ACCEPT
iptables -A access -p tcp -m tcp -m multiport --dports 88,464 -j ACCEPT
iptables -A access -p udp -m udp -m multiport --dports 88,464,123 -j ACCEPT
service iptables save


sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config
sed -i 's/^NETWORKING_IPV6=.*/NETWORKING_IPV6=false/g' /etc/sysconfig/network
reboot
dnf update -y && sudo dnf install freeipa-server freeipa-server-dns freeipa-client curl wget

Make Snapshot VPS

sudo ipa-server-install --domain=truedev.ru

Version 4.10.2

Do you want to configure integrated DNS (BIND)? [no]:

Server host name [freeipa.truedev.ru]:

Please confirm the domain name [truedev.ru]:

Please provide a realm name [TRUEDEV.RU]:

Directory Manager password:
Password (confirm):

IPA admin password:
Password (confirm):

NetBIOS domain name [TRUEDEV]:

Do you want to configure chrony with NTP server or pool address? [no]:

The IPA Master Server will be configured with:
Hostname:       freeipa.truedev.ru
IP address(es): 1.2.3.4
Domain name:    truedev.ru
Realm name:     TRUEDEV.RU

The CA will be configured with:
Subject DN:   CN=Certificate Authority,O=TRUEDEV.RU
Subject base: O=TRUEDEV.RU
Chaining:     self-signed

Continue to configure the system with these values? [no]: yes

in /etc/ssh/sshd_config disable 
Allow users

Установить и удалить kerberos клиент где необходимо: 

sudo apt install krb5-user 
sudo apt remove --purge krb5-user -y && sudo apt autoremove -y

Добавление сервис аккаунтов

Установка сертификатов для freeipa

Отключение анонимного доступа

Install ApacheDirectoryStudio on Mac M1

Фильтры LDAP

Этот фильтр вернет все объекты (возможно, группы или записи), которые находятся в группе allow_users: 

(&(objectClass=top)(memberOf=cn=allow_users,cn=groups,cn=accounts,dc=truedev,dc=ru))

Этот фильтр вернет всех пользователей (так как posixaccount обычно используется для пользователей), которые находятся в группе gitlab: 

(&(objectclass=posixaccount)(memberof=cn=gitlab,cn=groups,cn=accounts,dc=truedev,dc=ru))

Этот фильтр вернет всех людей (пользователей), которые имеют uid и находятся в группе gitlab: 

(&(objectclass=person)(uid=*)(memberof=cn=gitlab,cn=groups,cn=accounts,dc=truedev,dc=ru))

Изменить пароль пользователь если не известен текущий пароль

ipa user-mod <USERNAME> --password

Узнаем протоколы и не только

ldapsearch -h ipa.<domain> -x -b "" -s base 

...
upportedSASLMechanisms: EXTERNAL
supportedSASLMechanisms: GSS-SPNEGO
supportedSASLMechanisms: GSSAPI
...

References:

  • https://www.freeipa.org/page/howto/ldap
  • https://www.freeipa.org/page/Quick_Start_Guide
  • https://www.freeipa.org/page/V4/DNS_configuration_daemon#
  • https://debuntu.ru/a/sozdanie-system-account-dlya-podklyucheniya-ldap-klienta-k-freeipa/
  • https://debuntu.ru/a/mokey-polzovatelskii-servis-sbrosa-smeny-parolei-freeipa/
  • https://itproblog.ru/установка-и-настройка-freeipa/
  • https://computingforgeeks.com/secure-freeipa-server-with-lets-encrypt-ssl-certificate/
  • https://abbra.fedorapeople.org/.todo/freeipa-docs/#disabling-anon-binds
  • https://github.com/vasyakrg/freeIPA-meetup/blob/main/install.MD
  • expiring password notification
  • fixing annoying basic auth popup in freeipa
  • Managing user accounts using Ansible playbooks
  • https://www.freeipa.org/page/Centralized_Logging
  • https://support.apple.com/guide/directory-utility/configure-ldap-directory-access-diru566b498a/mac
  • https://support.apple.com/guide/directory-utility/change-connection-settings-ldap-open-dirucb123d90/6.4/mac/14.0
  • https://www.freeipa.org/page/HowTo/Setup_FreeIPA_Services_for_MacOS_X_10.12/10.13
  • https://medium.com/@manvendrapsingh/installing-many-jdk-versions-on-macos-dfc177bc8c2b
  • https://access.redhat.com/documentation/ru-ru/red_hat_enterprise_linux/9/pdf/managing_certificates_in_idm/red_hat_enterprise_linux-9-managing_certificates_in_idm-en-us.pdf
  • https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/third-party-certs-http-ldap
  • https://www.youtube.com/watch?v=Z9vJGS_416s