Для начала: FreeIPA - система управления пользователями, доменом и имеет весьма удобную веб-консоль для управления. Мы, конечно, мегалюбители консоли, но иногда и в браузере можно поуправлять. :)

Установка FreeIPA на CentOS 7

Как и обещал, немного о том, как поставить FreeIPA. Конечно, я рекомендую сначала поиграть на виртуалках, но если есть возможность пощупать это ПО на реальном железе - искренне завидую! (Я понимаю, что виртуалки, докер и т.д. - это стильно, модно, молодежно, но я немного за классику. :) )

Ставим нужные пакеты

  • yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap

Не забываем корректно указать имя сервера в hosts

  • vim /etc/hosts

и добавляем свои данные, например:

  • 10.0.0.10 ns.wikiadmin.local ns

Теперь инииализация

  • ipa-server-install –setup-dns

Отвечаем корректно на вопросы мастера. На самом деле достаточно просто….

…. 2 минуты спустя….

Теперь нам надо получить тикет Kerberos

  • kinit admin

Команда klist должна всё показать. Если нет - ищите ранее ошибки.

Так же неплохо выставить нормальный shell

  • ipa config-mod –defaultshell=/bin/bash

Если Firewalld запущен и используется:

  • firewall-cmd –add-service={ssh,dns,freeipa-ldap,freeipa-ldaps} –permanent

  • firewall-cmd –reload

Работа с ipa

Попробуем добавить пользователя:

  • ipa user-add USERNAME –first=NAME –last=LASTNAME –password

запросит пароль и готово.

Ещё вариант:

  • ipa user-find USERNAME

покажет инфу по пользователю USERNAME

Ну и удаление:

  • ipa user-del USERNAME

Как добавить почту админу:

Смотрим статус:

  • klist

  • ipactl status

Как сделать sudo для группы admin

  • ipa sudorule-add –cmdcat=all All

  • ipa sudorule-add-user –groups=admins All

Как настроить dnssec:

  • ipa-dns-install –dnssec-master

add dnssec to domain

  • ipa dnszone-mod dpld.ru. –dnssec=true

check it

  • dig @127.0.0.1 +dnssec dpld.ru. SOA

А как же клиентские компьютеры?

Теперь добавим компьютер пользователя. Для начала на сервере даём команду (если не через веб-интерфейс добавлять):

  • ipa dnsrecord-add wikiadmin.local pc01 –a-rec 10.0.0.100

это добавит pc01 в наш домен wikiadmin.local.

Теперь на клиенте:

  • yum -y install ipa-client

  • ipa-client-install

Разумеется, ns.wikiadmin.local должен стоять как DNS-сервер.

Так же стоит включить автосоздание home-папки пользователя, который зайдет.

  • authconfig –enablemkhomedir –update

И теперь можно заходить от ранее созданного в FreeIPA пользователя.