FreeIPAのソースを表示

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:FreeIPA]]
FreeIPA はオープンソースの ID, ポリシー, 監査 (IPA) スイートです。RedHat が支援しており Microsoft の Active Directory と同じようなサービスを提供します。

== IPA クライアントとして設定 ==

時刻が同期されていることを確認してください。時刻にズレがあると Kerberos は機能しません。[[Network_Time_Protocol_daemon|NTP]] が推奨されています。

LDAP 認証の手順に従って [[LDAP 認証#SSSD によるオンライン・オフライン認証|SSSD をセットアップ]]してください。以下のような SSSD 設定を使って、必要なフィールドは置き換えてください:

{{hc|/etc/sssd/sssd.conf|2=
[sssd]
config_file_version = 2
services = nss, pam, sudo, ssh
domains = EXAMPLE.COM
#debug_level = 9

[domain/EXAMPLE.COM]
#debug_level = 9
cache_credentials = true
krb5_store_password_if_offline = true
id_provider = ipa
auth_provider = ipa
access_provider = ipa
chpass_provider = ipa
#ipa_domain=ipa.example.com  # Optional if you set SRV records in DNS
#ipa_server=controller.example.com  # Optional if you set SRV records in DNS
ipa_hostname=fqdn.for.machine}}

[[LDAP_認証#PAM の設定|LDAP]] と同じように pam も設定します。{{ic|pam_ldap.so}} を {{ic|pam_sss.so}} に置き換えてください。

{{ic|/etc/krb5.conf}} ファイルを作成:

{{hc|/etc/krb5.conf|2=
[libdefaults]
        default_realm = EXAMPLE.COM
        dns_lookup_realm = false
        dns_lookup_kdc = false
        rdns = false
        ticket_lifetime = 24h
        fowardable = yes
        #allow_weak_crypto = yes  # Only if absolutely necessary. Currently FreeIPA supports strong crypto.

[realms]
        EXAMPLE.COM = {
                admin_server = controller.example.com
                kdc = controller.example.com:749
                default_admin = example.com
        }

[domain_realm]
        example.com = EXAMPLE.COM
        .example.com = EXAMPLE.COM

[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
}}

IPA サーバーからクライアントを追加してください ([https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/linux-manual.html Fedora のドキュメント] を参照):
# 管理者セッションにログイン: {{ic|kinit admin}}
# ホストエントリを作成: {{ic|1=ipa host-add --force --ip-address=192.168.166.31 client1.example.com}}<br />(ホストに固定 IP がない場合、{{ic|1=ipa host-add client1.example.com}} を使ってください)
# IPA でクライアントを管理するように設定: {{ic|1=ipa host-add-managedby --hosts=controller.example.com client1.example.com}}
# クライアントの keytab を生成: {{ic|ipa-getkeytab -s controller.example.com -p host/client1.example.com -k /tmp/client1.keytab}}

生成した keytab をクライアントにインストール:
 $ scp user@controller.example.com:/tmp/client1.keytab krb5.keytab
 # mv krb5.ketab /etc/krb5.keytab

=== SSH の統合 ===

==== authorized_keys ====

{{ic|1=/etc/ssh/sshd_config}} の以下の行をアンコメントすることで LDAP ディレクトリからユーザーの SSH 公開鍵を取得するように sshd を設定できます:

 AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
 AuthorizedKeysCommandUser nobody

設定したら sshd を再起動してください。

ウェブインターフェイスを使用するか {{ic|1=-sshpubkey='ssh-rsa AAAA...'}} 引数を使って {{ic|1=ipa user-mod}} または {{ic|1=ipa user-create}} コマンドを実行することで FreeIPA のユーザーアカウントに ssh を追加できます。

ssh 鍵をテスト:

 # sudo -u nobody sss_ssh_authorizedkeys <username>

ssh 公開鍵が標準出力に表示され何もエラーメッセージが表示されなければ問題ありません。

==== known_hosts ====

{{ic|1=/etc/ssh/ssh_config}} に以下の行を追加することで FreeIPA のディレクトリエントリからホストの公開鍵の情報を取得するように ssh を設定できます:

 GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts
 ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h

== 参照 ==

* [https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/linux-manual.html Manually Configuring a Linux Client] from the FreeIPA user guide
* [https://www.freeipa.org/images/1/10/Freeipa30_SSSD_OpenSSH_integration.pdf Freeipa30_SSSD_OpenSSH_integration.pdf]