====== FreeIPA ======

FreeIPA je riešenie od RedHatu pre centralizovanú správu užívateľov. Dokáže nastaviť, ktorí užívatelia môžu pristupovať ku ktorým počítačom. Zároveň umožňuje centrálne spravovať oprávnenia sudo a tiež ssh kľúče.

Náš server má adresu ipa.brm (Mac: 52:54:00:16:26:30). Ide o virtuálny stroj na data.brm.

===== Ako nastaviť klienta, Debian =====
Chceme brmlabí počítač nastaviť ako klienta pre FreeIPA. Nech je to počítač, ktorého hostname je client.brm.
Nainštalujeme balíček sssd/unstable, openssh-server (6.2, testingu) a sudo-ldap.

Na ipa.brm sa prihlásime a získame ticket pre admina (''kinit admin'').
Povieme serveru, že bude mať nového klienta:
  ipa host-add client.brm
Dokumentácia hovorí použiť ''ipa host-add --force --ip-address=192.168.xx.xx client.brm'', vyzerá, že to nie je potrebné, ale môžeme použiť.

Povieme serveru, že ho má //manažovať//:
  ipa host-add-managedby --hosts=ipa.brm client.brm

Vezmeme si zo serveru //keytab// pre klienta:
  ipa-getkeytab -s ipa.brm -p host/client.brm -k client.keytab

Zo servera si vezmeme vzniknutý súbor client.keytab a súbor ''/etc/ipa/ca.crt'' a presunieme sa na klienta.

Na klientskej stanici umiestnime ''ca.crt'' do adresára ''/etc/ipa/'' (tak, ako bol na serveri) a súbor ''client.keytab'' uložíme ako ''/etc/krb5.keytab''. Ak nemá, nastavíme mu práva na 0600 (a podľa dokumentácie ešte správny SElinuxový kontext, ale to na Debiane zvyčajne nie je).

Vytvoríme súbor ''/etc/sssd/sssd.conf'' s nasledovným obsahom (rovnaký ako na iných strojoch, mení sa iba riadok s ''ipa_hostname'')

  [sssd]
  config_file_version = 2
  services = nss, pam, ssh, sudo
  debug_level = 0x00FF
  
  domains = brm
  [nss]
  
  [pam]
  
  [domain/brm]
  cache_credentials = True
  krb5_store_password_if_offline = True
  ipa_domain = brm
  dns_discovery_domain = brm
  id_provider = ipa
  auth_provider = ipa
  access_provider = ipa
  ipa_hostname = client.brm
  chpass_provider = ipa
  ipa_server = ipa.brm
  ldap_tls_cacert = /etc/ipa/ca.crt

Balíček ''sssd'' by pri svojej inštalácii mal pridať príslušné položky do súborov v ''/etc/pam.d'' Skontrolujeme, či tam fakt sú:

  root@client:/etc/pam.d# grep sss *
  common-account:account	[default=bad success=ok user_unknown=ignore]	pam_sss.so 
  common-auth:auth	[success=1 default=ignore]			pam_sss.so use_first_pass
  common-password:password	sufficient					pam_sss.so use_authtok
  common-session:session	optional					pam_sss.so 

Na koniec ''/etc/pam.d/common-session'' pridáme ešte
  session	optional	pam_mkhomedir.so skel=/etc/skel/ umask=0022

Dokumentácia hovorí, že je vhodnejšie použiť ''pam_oddjob_mkhomedir'', ale ten nevyzerá, že by v Debiane bol.

Nastavíme v ''/etc/nsswitch.conf'' použitie ''sss'' a ''ldap'' pre ''sudo'' (u ''sudo'' má byť ''ldap'', ''sss'' asi nemusí/nemá?)

  passwd:         compat sss
  group:          compat sss
  shadow:         compat sss 
  
  hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
  networks:       files
  
  protocols:      db files
  services:       db files
  ethers:         db files
  rpc:            db files
  
  netgroup:       nis sss
  sudoers:        files ldap sss

Upravíme súbor ''/etc/krb5.conf'':
  [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
  [libdefaults]
        default_realm = BRM
        dns_lookup_realm = false
        dns_lookup_kdc = true
        rdns = false
        ticket_lifetime = 24h
        forwardable = yes
  [realms]
  BRM = {
        kdc = ipa.brm:88
        master_kdc = ipa.brm:88
        admin_server = ipa.brm:749
        default_domain = brm
        pkinit_anchors = FILE:/etc/ipa/ca.crt
  }
  
  [domain_realm]
  .brm = BRM
  brm = BRM

Nastavíme ''sudo'' v súbore ''/etc/sudo-ldap.conf'' (pričom za HESLO dosadíme heslo, ktoré zistíme napríklad z konfiguráku od už nastaveného klienta):
  binddn uid=sudo,cn=sysaccounts,cn=etc,dc=brm
  bindpw HESLO
  
  ssl start_tls
  tls_cacertfile /etc/ipa/ca.crt
  tls_checkpeer yes
  
  bind_timelimit 5
  timelimit 15
  
  uri ldap://ipa.brm
  sudoers_base ou=SUDOers,dc=brm

Sudo potrebuje nastavené //nisdomainname//, tak nastavíme (v Debiane snáď príkazom ''nisdomainname'' (čo vyzerá, že neprežije reštart, takže to zapíšeme do ''/etc/defaultdomain'').
  nisdomainname brm

Nastavíme v  ''sshd_config''u:
  PubkeyAuthentication yes
  UsePAM yes
  AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
  AuthorizedKeysCommandUser nobody
  GSSAPIAuthentication yes

To by malo byť všetko. Ak chceme, môžeme ešte nastaviť v ''sshd_config'' ďalšie veci (napríklad zakázať heslo, ak chceme iba kľúče z FreeIPA, tak ''AuthorizedKeysFile /dev/null'', ak sa nebojíme, prípadne nastavíme ''AuthorizedKeysFile'' len na kľúče v /root/.ssh/authorized_keys, fantázií sa medze nekladú)

FreeIPA vie aj rozdistribuovávať ''known_hosts'', to zatiaľ nemám preskúšané.

Ešte resetujeme na klientovi ''sssd'' a ''sshd'' (''service sssd restart'' a ''service ssh restart'') a otestujeme, že ''sss_ssh_authorizedkeys //username//'' nám vracia správne kľúče. Tým sme na klientovi hotoví.

Prihlásime sa do https://ipa.brm ako ''admin'' a nastavíme skupiny pre nového hosta a to, čo potrebujeme.