FreeIPA ausprobieren

FreeIPA liegt aktuell in der Version 3.3.3 vor und lässt sich am einfachsten mit Fedora ausprobieren. Die Version 3.2 ist beispielsweise in den Paketquellen von Fedara 19 enthalten – nach dem Aktivieren des Repository »fedora-updates-testing« auch in der aktuellen Version 3.3.3. Optional gibt es den Quellcode unter [9].

Zum Aufsetzen des FreeIPA-Servers genügt es, das Paket »freeipa-server« zu installieren, was unter Fedora 19 das Auflösen einer stattlichen Anzahl von Abhängigkeiten nach sich zieht: rund 70 Pakete einschließlich »krb5« , »nss-tools« , »389-ds-base« , »certmonger« und so weiter. Ein eigener DNS-Server ist nicht zwingend erforderlich, weil FreeIPA auch das Einbinden eines existierenden DNS erlaubt. Will man selber den Namensdienst betreiben, muss man außerdem das LDAP-Backend-Plugin für BIND in Form des Paketes »bind-dyndb-ldap« installieren.

Zur Grundkonfiguration des FreeIPA-Domänen-Controllers dient das Skript »ipa-server-install« , das entweder interaktiv eine Anzahl von Parametern abfragt oder die Argumente als Parameter erwartet, wie zum Beispiel »-n« (Domain-Name) , »-r« (Realm-Name), »-p« (Master-Passwort) oder »-a« (Admin-Passwort). Ferner wird mit »-setup-dns« bei Bedarf eine DNS-Zone generiert und ein DNS-Server konfiguriert, was allerdings erfordert, mit »-forwarder« einen externen DNS-Forwarder anzugeben oder die Option »-no-forwarders« zu verwenden.

Mit »-U« (unmaintained) lässt sich auch jede Nutzer-Interaktion unterdrücken, was voraussetzt, alle benötigten Parameter beim Aufruf zu übergeben. Das Setup eines DNS kann allerdings auch später mit »ipa-dns-install« erfolgen. Ein Vorteil des eigenen DNS besteht darin, dass dieser sowohl A- und PTR-Records für sämtliche Domänen-Mitglieder als auch Service-Records zur Verfügung stellt. Clients haben dann die Möglichkeit, den richtigen Kerberos- beziehungsweise LDAP-Server über ein DNS-Recovery zu ermitteln.

Im Beispiel kommt die interaktive Variante zum Einsatz, bei der per Default keine DNS-Konfiguration stattfindet.Das Skript erzeugt und konfiguriert eine Instanz des 389-DS, erzeugt und konfiguriert ein KDC, richtet den Apache-Webserver für den Zugriff auf das Web-Interface ein, konfiguriert den NTP-Daemon und eine Standalone-CA für das Dogtag-Certificate-Management-System. Im Anschluss an die Frage, ob das System einen DNS konfigurieren soll oder nicht, ist der vollständige FQDN des FreeIPA-Servers anzugeben. Gleiches gilt anschließend für den Domain-Namen (ohne Host-Teil) und den Kerberos-Realm, bei dem sich ebenfalls in der Regel der Default-Vorschlag übernehmen lässt.

Service-Vielfalt

Nach erfolgreicher Installation zeigt das Skript eine Zusammenfassung der konfigurierten Ports für das Web-Interface (HTTP 80, HTTPS 443), 389-DS (LDAP 389, LDAPS 636) und Kerberos (88, 464) sowie der benötigten und konfigurierten UDP-Ports an.

FreeIPA lässt sich wahlweise vollständig über das Kommandozeilenwerkzeug »ipa« oder über das Web-Interface administrieren.