Gestions des clients FreeIPA (IdM)

Installation et désinstallation de clients IdM

Conditions préalables à l'installation d'un client

Exigences DNS

Employer la délégation DNS appropriée. Pour plus d'informations sur les exigences DNS dans IdM, reportez-vous à la Section 2.1.3, «Nom d'hôte et configuration DNS».

  • Ne modifiez pas le fichier “resolv.conf” sur les clients.

Exigences du port

Les clients IdM se connectent à un certain nombre de ports sur les serveurs IdM pour communiquer avec leurs services. Ces ports doivent être ouverts sur les serveurs IdM pour fonctionner.

Pour plus d'informations sur les ports requis par IdM, reportez-vous à la Section, «Exigences des ports».

Sur un client, ouvrez ces ports dans le sens sortant. Si vous utilisez un pare-feu qui ne filtre pas les paquets sortants, tels que firewalld, les ports sont déjà disponibles dans le sens sortant.

Prise en charge de la norme FIPS (Federal Information Processing Standard)

Dans les environnements configurés à l'aide de Red Hat Enterprise Linux 7.4 et versions ultérieures:

  • Vous pouvez configurer un nouveau serveur, réplica ou client IdM sur un système avec le mode FIPS activé. Le script d'installation détecte automatiquement un système sur lequel FIPS est activé et configure IdM sans l'intervention de l'administrateur.
  • Pour activer FIPS dans le système d'exploitation, voir Activation du mode FIPS dans le Guide de sécurité.

Attention:

Vous ne pouvez pas:

  • Activer le mode FIPS sur les serveurs IdM existants précédemment installés avec le mode FIPS désactivé.
  • Installez une réplique en mode FIPS lorsque vous utilisez un serveur IdM existant avec le mode FIPS désactivé.

Dans les environnements configurés avec Red Hat Enterprise Linux 7.3 et versions antérieures:

  • IdM ne prend pas en charge le mode FIPS. Désactivez FIPS sur votre système avant d'installer un serveur, un répliqua ou un client IdM, et ne l'activez pas après l'installation.

Configuration requise pour le démon de cache de service de noms (NSCD)

Red Hat recommande de désactiver le NSCD sur les ordinateurs Identity Management. Si la désactivation de NSCD n'est pas possible, activez uniquement NSCD pour les cartes que SSSD ne met pas en cache.

NSCD et le service SSSD effectuent tous deux la mise en cache et des problèmes peuvent survenir lorsque les systèmes utilisent les deux services simultanément.

Packages requis pour installer un client

Installez le package “ipa-client”: 

# yum install ipa-client

Le package “ipa-client” installe automatiquement les autres packages requis en tant que dépendances, tels que les packages System Security Services Daemon (SSSD).

Installation d'un client

L'utilitaire “ipa-client-install” installe et configure un client IdM. Le processus d'installation nécessite que vous fournissiez des informations d'identification pouvant être utilisées pour inscrire le client. Les méthodes d'authentification suivantes sont prises en charge:

Utilisateur autorisé à inscrire des clients, par exemple : admin

Par défaut, “ipa-client-install” attend cette option. Pour fournir les informations d'identification de l'utilisateur directement “ipa-client-install”, utilisez les options “–principal” et “–password”.

Un mot de passe aléatoire unique, pré-généré sur le serveur Pour utiliser cette méthode d'authentification, ajoutez l'option “–random” à l'option “ipa-client-install

Un principal d'une inscription précédente Pour utiliser cette méthode d'authentification, ajoutez l'option “–keytab” à ipa-client-install.

Les sections suivantes documentent les scénarios d'installation de base.

Installation d'un client de manière interactive

La procédure suivante installe un client tout en invitant l'utilisateur à saisir les informations requises. L'utilisateur fournit les informations d'identification d'un utilisateur autorisé à inscrire des clients dans le domaine, tel que l'utilisateur admin.

Exécutez l'utilitaire ipa-client-install.

Ajoutez l'option –enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP de l'ordinateur client si l'une des conditions suivantes s'applique:

  • le serveur IdM sur lequel le client sera inscrit a été installé avec un DNS intégré
  • le serveur DNS sur le réseau accepte les mises à jour d'une entrée DNS avec le protocole GSS-TSIG

Ajoutez l'option –no-krb5-offline-passwords pour désactiver le stockage des mots de passe Kerberos dans le cache SSSD.

Le script d'installation tente d'obtenir automatiquement tous les paramètres requis.

Si votre zone DNS et vos enregistrements SRV sont définis correctement sur votre système, le script détecte automatiquement toutes les valeurs requises et les affichent. Entrez oui pour confirmer. 

Client hostname: client.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: server.example.com
BaseDN: dc=example,dc=com
 
Continue to configure the system with these values? [no]: yes

Si vous souhaitez installer le système avec des valeurs différentes, annulez l'installation en cours. Ensuite, exécutez à nouveau ipa-client-install et spécifiez les valeurs requises à l'aide des options de ligne de commande.

Si le script ne parvient pas à obtenir certains paramètres automatiquement, il vous demande les valeurs.

Attention:

Le nom de domaine complet doit être un nom DNS valide, ce qui signifie que seuls les nombres, les caractères alphabétiques et les tirets (-) sont autorisés. D'autres caractères, tels que les traits de soulignement, dans le nom d'hôte provoquent des échecs DNS. De plus, le nom d'hôte doit être tout en minuscule; aucune majuscule n'est autorisée.

Le script invite l'utilisateur dont l'identité sera utilisée pour inscrire le client. Par défaut, il s'agit de l'utilisateur admin: 

User authorized to enroll computers: admin
Password for admin@EXAMPLE.COM

Le script d'installation configure maintenant le client. Attendez que l'opération se termine. 

Client configuration complete.

Installation d'un client de manière automatique

Pour une installation automatique, fournissez toutes les informations requises à l'utilitaire d'installation ipa-client à l'aide des options de ligne de commande. Les options minimales requises pour une installation non interactive sont les suivantes:

  • des options pour spécifier les informations d'identification qui seront utilisées pour inscrire le client
  • –unattended pour laisser l'installation s'exécuter sans nécessiter de confirmation de l'utilisateur

Si votre zone DNS et vos enregistrements SRV sont définis correctement sur votre système, le script détecte automatiquement toutes les autres valeurs requises. Si le script ne parvient pas à détecter automatiquement les valeurs, fournissez-les à l'aide des options de ligne de commande.

  • –hostname pour spécifier un nom d'hôte statique pour la machine client

Attention:

Le nom de domaine complet doit être un nom DNS valide, ce qui signifie que seuls les nombres, les caractères alphabétiques et les tirets (-) sont autorisés. D'autres caractères, tels que les traits de soulignement, dans le nom d'hôte provoquent des échecs DNS. De plus, le nom d'hôte doit être tout en minuscule; aucune majuscule n'est autorisée.

  • –server pour spécifier le nom d'hôte du serveur IdM avec lequel le client sera inscrit
  • –domain pour spécifier le nom de domaine DNS du serveur IdM avec lequel le client sera inscrit
  • –realm pour spécifier le nom du domaine Kerberos

Ajoutez l'option –enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP de l'ordinateur client si l'une des conditions suivantes s'applique:

  • le serveur IdM sur lequel le client sera inscrit a été installé avec DNS intégré
  • le serveur DNS sur le réseau accepte les mises à jour d'entrée DNS avec le protocole GSS-TSIG

Ajoutez l'option –no-krb5-offline-passwords pour désactiver le stockage des mots de passe Kerberos dans le cache SSSD.

Post-installation pour les clients

Le script ipa-client-install ne supprime aucune configuration LDAP et SSSD antérieure des fichiers /etc/openldap/ldap.conf et /etc/sssd/sssd.conf. Si vous avez modifié la configuration dans ces fichiers avant d'installer le client, le script ajoute les nouvelles valeurs client, mais les commente.

Par exemple: 

BASE dc = exemple, dc = com
URI ldap: //ldap.example.com
 
#URI ldaps: //server.example.com # modifié par IPA
#BASE dc = ipa, dc = exemple, dc = com # modifié par IPA

Pour appliquer les nouvelles valeurs de configuration Identity Management:

  1. Ouvrez /etc/openldap/ldap.conf et /etc/sssd/sssd.conf.
  2. Supprimez la configuration précédente.
  3. Décommenter la nouvelle configuration de gestion des identités.

Les processus serveur reposant sur une configuration LDAP à l'échelle du système peuvent nécessiter un redémarrage pour appliquer les modifications. Les applications qui utilisent des bibliothèques openldap importent généralement la configuration au démarrage.

Test du nouveau client

Vérifiez que le client peut obtenir des informations sur les utilisateurs définis sur le serveur.

Par exemple, pour vérifier l'utilisateur admin par défaut: 

[root@srv ~] $ id admin
uid=1254400000(admin) gid=1254400000(admins) groupes=1254400000(admins)

Désinstallation d'un client

La désinstallation d'un client supprime le client du domaine IdM, ainsi que toute la configuration spécifique à l'IdM pour les services système, tels que SSSD. Cela restaure la configuration précédente de la machine cliente.

Exécutez la commande ipa-client-install –uninstall: 

# ipa-client-install --uninstall

Supprimez les entrées DNS pour l'hôte client manuellement à partir du serveur.

Ce site web utilise des cookies. En utilisant le site Web, vous acceptez le stockage de cookies sur votre ordinateur. Vous reconnaissez également que vous avez lu et compris notre politique de confidentialité. Si vous n'êtes pas d'accord, quittez le site.En savoir plus