Gestions des clients FreeIPA (IdM)

Employer la délégation DNS appropriée. Pour plus d'informations sur les exigences DNS dans IdM, reportez-vous à la Section 2.1.3, «Nom d'hôte et configuration DNS».

• Ne modifiez pas le fichier “resolv.conf” sur les clients.

Les clients IdM se connectent à un certain nombre de ports sur les serveurs IdM pour communiquer avec leurs services. Ces ports doivent être ouverts sur les serveurs IdM pour fonctionner.

Pour plus d'informations sur les ports requis par IdM, reportez-vous à la Section, «Exigences des ports».

Sur un client, ouvrez ces ports dans le sens sortant. Si vous utilisez un pare-feu qui ne filtre pas les paquets sortants, tels que firewalld, les ports sont déjà disponibles dans le sens sortant.

Dans les environnements configurés à l'aide de Red Hat Enterprise Linux 7.4 et versions ultérieures:

• Vous pouvez configurer un nouveau serveur, réplica ou client IdM sur un système avec le mode FIPS activé. Le script d'installation détecte automatiquement un système sur lequel FIPS est activé et configure IdM sans l'intervention de l'administrateur.
• Pour activer FIPS dans le système d'exploitation, voir Activation du mode FIPS dans le Guide de sécurité.

Dans les environnements configurés avec Red Hat Enterprise Linux 7.3 et versions antérieures:

• IdM ne prend pas en charge le mode FIPS. Désactivez FIPS sur votre système avant d'installer un serveur, un répliqua ou un client IdM, et ne l'activez pas après l'installation.

Red Hat recommande de désactiver le NSCD sur les ordinateurs Identity Management. Si la désactivation de NSCD n'est pas possible, activez uniquement NSCD pour les cartes que SSSD ne met pas en cache.

NSCD et le service SSSD effectuent tous deux la mise en cache et des problèmes peuvent survenir lorsque les systèmes utilisent les deux services simultanément.

Installez le package “ipa-client”:

# yum install ipa-client

Le package “ipa-client” installe automatiquement les autres packages requis en tant que dépendances, tels que les packages System Security Services Daemon (SSSD).

L'utilitaire “ipa-client-install” installe et configure un client IdM. Le processus d'installation nécessite que vous fournissiez des informations d'identification pouvant être utilisées pour inscrire le client. Les méthodes d'authentification suivantes sont prises en charge:

Utilisateur autorisé à inscrire des clients, par exemple : admin

Par défaut, “ipa-client-install” attend cette option. Pour fournir les informations d'identification de l'utilisateur directement “ipa-client-install”, utilisez les options “–principal” et “–password”.

Un mot de passe aléatoire unique, pré-généré sur le serveur Pour utiliser cette méthode d'authentification, ajoutez l'option “–random” à l'option “ipa-client-install”

Un principal d'une inscription précédente Pour utiliser cette méthode d'authentification, ajoutez l'option “–keytab” à ipa-client-install.

Les sections suivantes documentent les scénarios d'installation de base.

La procédure suivante installe un client tout en invitant l'utilisateur à saisir les informations requises. L'utilisateur fournit les informations d'identification d'un utilisateur autorisé à inscrire des clients dans le domaine, tel que l'utilisateur admin.

Exécutez l'utilitaire ipa-client-install.

Ajoutez l'option –enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP de l'ordinateur client si l'une des conditions suivantes s'applique:

• le serveur IdM sur lequel le client sera inscrit a été installé avec un DNS intégré
• le serveur DNS sur le réseau accepte les mises à jour d'une entrée DNS avec le protocole GSS-TSIG

Ajoutez l'option –no-krb5-offline-passwords pour désactiver le stockage des mots de passe Kerberos dans le cache SSSD.

Le script d'installation tente d'obtenir automatiquement tous les paramètres requis.

Si votre zone DNS et vos enregistrements SRV sont définis correctement sur votre système, le script détecte automatiquement toutes les valeurs requises et les affichent. Entrez oui pour confirmer.

Client hostname: client.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: server.example.com
BaseDN: dc=example,dc=com
 
Continue to configure the system with these values? [no]: yes

Si vous souhaitez installer le système avec des valeurs différentes, annulez l'installation en cours. Ensuite, exécutez à nouveau ipa-client-install et spécifiez les valeurs requises à l'aide des options de ligne de commande.

Si le script ne parvient pas à obtenir certains paramètres automatiquement, il vous demande les valeurs.

Le script invite l'utilisateur dont l'identité sera utilisée pour inscrire le client. Par défaut, il s'agit de l'utilisateur admin:

User authorized to enroll computers: admin
Password for admin@EXAMPLE.COM

Le script d'installation configure maintenant le client. Attendez que l'opération se termine.

Client configuration complete.

Pour une installation automatique, fournissez toutes les informations requises à l'utilitaire d'installation ipa-client à l'aide des options de ligne de commande. Les options minimales requises pour une installation non interactive sont les suivantes:

• des options pour spécifier les informations d'identification qui seront utilisées pour inscrire le client
• –unattended pour laisser l'installation s'exécuter sans nécessiter de confirmation de l'utilisateur

Si votre zone DNS et vos enregistrements SRV sont définis correctement sur votre système, le script détecte automatiquement toutes les autres valeurs requises. Si le script ne parvient pas à détecter automatiquement les valeurs, fournissez-les à l'aide des options de ligne de commande.

• –hostname pour spécifier un nom d'hôte statique pour la machine client

• –server pour spécifier le nom d'hôte du serveur IdM avec lequel le client sera inscrit
• –domain pour spécifier le nom de domaine DNS du serveur IdM avec lequel le client sera inscrit
• –realm pour spécifier le nom du domaine Kerberos

Ajoutez l'option –enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP de l'ordinateur client si l'une des conditions suivantes s'applique:

• le serveur IdM sur lequel le client sera inscrit a été installé avec DNS intégré
• le serveur DNS sur le réseau accepte les mises à jour d'entrée DNS avec le protocole GSS-TSIG

Ajoutez l'option –no-krb5-offline-passwords pour désactiver le stockage des mots de passe Kerberos dans le cache SSSD.

Le script ipa-client-install ne supprime aucune configuration LDAP et SSSD antérieure des fichiers /etc/openldap/ldap.conf et /etc/sssd/sssd.conf. Si vous avez modifié la configuration dans ces fichiers avant d'installer le client, le script ajoute les nouvelles valeurs client, mais les commente.

Par exemple:

BASE dc = exemple, dc = com
URI ldap: //ldap.example.com
 
#URI ldaps: //server.example.com # modifié par IPA
#BASE dc = ipa, dc = exemple, dc = com # modifié par IPA

Pour appliquer les nouvelles valeurs de configuration Identity Management:

1. Ouvrez /etc/openldap/ldap.conf et /etc/sssd/sssd.conf.
2. Supprimez la configuration précédente.
3. Décommenter la nouvelle configuration de gestion des identités.

Les processus serveur reposant sur une configuration LDAP à l'échelle du système peuvent nécessiter un redémarrage pour appliquer les modifications. Les applications qui utilisent des bibliothèques openldap importent généralement la configuration au démarrage.

Vérifiez que le client peut obtenir des informations sur les utilisateurs définis sur le serveur.

Par exemple, pour vérifier l'utilisateur admin par défaut:

[root@srv ~] $ id admin
uid=1254400000(admin) gid=1254400000(admins) groupes=1254400000(admins)

La désinstallation d'un client supprime le client du domaine IdM, ainsi que toute la configuration spécifique à l'IdM pour les services système, tels que SSSD. Cela restaure la configuration précédente de la machine cliente.

Exécutez la commande ipa-client-install –uninstall:

# ipa-client-install --uninstall 

Supprimez les entrées DNS pour l'hôte client manuellement à partir du serveur.