FreeIPA: Gestión centralizada de accesos a usuarios

FreeIPA es una herramienta de login centralizado, es decir, sirve para gestionar todos los usuarios, los hosts y los accesos de una manera centralizada. Permite varias opciones además del clasico login con contraseña, por ejemplo, OTP, mediante certificados SSH, servidor RADIUS, Tickets… La instalación no es demasiado complicada y permite varias opciones. Es muy recomendable para poder tener bien gestionados todos los accesos.

Para instalar FreeIPA es necesario tener un servidor DNS. En este caso el servidor DNS va a ser externo aquí un tutorial de como instalar un servidor DNS. Pero también se puede instalar en la misma máquina. Como sistema operativo, se utilizará CentOS ya que es el único además de fedora que trae en los repositorios oficiales el paquete de freeIPA

También hay que tener en cuenta los requisitos mínimos para instalar FreeIPA

Servidor

Para empezar, configurar correctamente el archivo hosts

Deshabilitar el firewall (o si no abrir los puertos necesarios)

Antes que nada, desinstalar chrony e instalar ntp

Lanzar el demonio ntp

A continuación instalar el instalador del servidor freeIPA

Y empezar a con la instalación de FreeIPA

Y una vez que termine de configurar todos los paquetes, ya estaría listo. Ahora habría que conectarse a la web mediante un navegador

Ahora se pueden crear usuarios, añadirles claves SSH, OTPs…

Cliente Linux

En este caso el cliente que vamos a utilizar va a ser un cliente Debian

Añadir los repositorios necesarios

Añadir la clave publica

Actualizar los repositorios

Instalar el cliente

Crear la carpeta para almacenar los certificados

Crear la base de datos para almacenar las credenciales

Crear la carpeta para el proceso

Eliminar la configuración por defecto

Lanzar el configurador (cuando pregune algo, dejarlo por defecto)

Habilitar la autocreación de los homes de los usuarios de LDAP

Modificar el archivo de configuración de nsswitch.conf

Y por último, reiniciar la máquina

Y con esto ya nos podríamos conectar por ssh con nuestro usuario

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *