Freeipa Archives - iZero

[Freeipa-client] Installation sur Debian 11 bullseye

1 septembre 20221 septembre 2022 BEF Laisser un commentaire

Article original Publié le : 1 septembre 2022 Mise à jour le : – Le paquet freeipa-client n’est plus disponible dans les repos Debian 11

$ sudo apt install freeipa-client

1	$ sudo apt install freeipa-client

Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
E: Unable to locate package freeipa-client

Reading package lists... Done

Building dependency tree... Done

Reading state information... Done

E: Unable to locate package freeipa-client

$ sudo apt search freeipa

1	$ sudo apt search freeipa

Sorting... Done
Full Text Search... Done
cockpit-ws/stable 239-1 amd64
  Cockpit Web Service

freeipa-healthcheck/stable 0.8-1 all
  Health check tool for FreeIPA

libipa-hbac-dev/stable 2.4.1-2 amd64
  FreeIPA HBAC Evaluator library -- development files

libipa-hbac0/stable 2.4.1-2 amd64
  FreeIPA HBAC Evaluator library

libnss-sss/stable 2.4.1-2 amd64
  Nss library for the System Security Services Daemon

libpam-sss/stable 2.4.1-2 amd64
  Pam module for the System Security Services Daemon

puppet-module-joshuabaird-ipaclient/stable 2.5.2-3 all
  Puppet module for Joshuabaird IPAclient

python3-ipahealthcheck-core/stable 0.8-1 all
  Health check tool for FreeIPA -- core files

python3-libipa-hbac/stable 2.4.1-2 amd64
  Python3 bindings for the FreeIPA HBAC Evaluator library

python3-sss/stable 2.4.1-2 amd64
  Python3 module for the System Security Services Daemon

sssd/stable 2.4.1-2 amd64
  System Security Services Daemon -- metapackage

sssd-common/stable 2.4.1-2 amd64
  System Security Services Daemon -- common files

sssd-tools/stable 2.4.1-2 amd64
  System Security Services Daemon -- tools

Sorting... Done

Full Text Search... Done

cockpit-ws/stable 239-1 amd64

Cockpit Web Service

freeipa-healthcheck/stable 0.8-1 all

Health check tool for FreeIPA

libipa-hbac-dev/stable 2.4.1-2 amd64

FreeIPA HBAC Evaluator library -- development files

libipa-hbac0/stable 2.4.1-2 amd64

FreeIPA HBAC Evaluator library

libnss-sss/stable 2.4.1-2 amd64

Nss library for the System Security Services Daemon

libpam-sss/stable 2.4.1-2 amd64

Pam module for the System Security Services Daemon

puppet-module-joshuabaird-ipaclient/stable 2.5.2-3 all

Puppet module for Joshuabaird IPAclient

python3-ipahealthcheck-core/stable 0.8-1 all

Health check tool for FreeIPA -- core files

python3-libipa-hbac/stable 2.4.1-2 amd64

Python3 bindings for the FreeIPA HBAC Evaluator library

python3-sss/stable 2.4.1-2 amd64

Python3 module for the System Security Services Daemon

sssd/stable 2.4.1-2 amd64

System Security Services Daemon -- metapackage

sssd-common/stable 2.4.1-2 amd64

System Security Services Daemon -- common files

sssd-tools/stable 2.4.1-2 amd64

System Security Services Daemon -- tools

il faut passer par le backports Ajouter dans le sources.list

deb http://deb.debian.org/debian/ bullseye-backports main contrib non-free

1	deb http://deb.debian.org/debian/ bullseye-backports main contrib non-free

Mettre à jour la base et installé le client et ces […]

[FreeIPA] Renouvellement des certificats

21 novembre 202021 novembre 2020 BEF Laisser un commentaire

Renouvellement des certificats sur FreeIPA Article original Publié le : 21 novembre 2020 Mise a jour le : – Par défaut les certificats sont en auto-renew via le service certmonger qui essayera de renouveler le certificat 28 jours avant son expiration https://www.freeipa.org/page/Certmonger Si le certificat venait a ne pas être renouvelé il […]

[Linux] Mise en place d’un serveur FreeRADIUS

21 novembre 202021 novembre 2020 BEF 2 commentaires

Mise en place d’un serveur FreeRADIUS sur Linux Article original Publié le : 21 novembre 2020 Mise a jour le : – Pour les besoins de faire de l’authent sur un serveur proxy Opnsense et des switchs, voici un simple tuto pour la mise en place de FreeRADIUS sur une Centos 7.x et […]

[FreeIPA] Changer les attributs shell et mail par défaut

31 octobre 20204 novembre 2020 BEF Laisser un commentaire

Changer les attributs shell et mail par défaut sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Pour lister la conf actuelle

$ ipa config-show --all

1	$ ipa config-show --all

  dn: cn=ipaConfig,cn=etc,dc=izero,dc=lan
  Maximum username length: 32
  Home directory base: /home
  Default shell: <strong>/bin/sh</strong>
  Default users group: ipausers
  Default e-mail domain: <strong>izero.lan</strong>
  Search time limit: 2
  Search size limit: 100
  User search fields: uid,givenname,sn,telephonenumber,ou,title
  Group search fields: cn,description
  Enable migration mode: FALSE
  Certificate Subject base: O=IZERO.LAN
  Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject
  Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser,
                              posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
                              ipasshuser
  Password Expiration Notification (days): 4
  Password plugin features: AllowNThash, KDC:Disable Last Success
  SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$sysadm_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
  Default SELinux user: unconfined_u:s0-s0:c0.c1023
  Default PAC types: MS-PAC, nfs:NONE
  IPA masters: freeipa.izero.lan
  IPA master capable of PKINIT: freeipa.izero.lan
  IPA CA servers: freeipa.izero.lan
  IPA NTP servers: freeipa.izero.lan
  IPA CA renewal master: freeipa.izero.lan
  IPA DNS servers: freeipa.izero.lan
    cn: ipaConfig
  objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject, ipaUserAuthTypeClass,
               ipaNameResolutionData

dn: cn=ipaConfig,cn=etc,dc=izero,dc=lan

Maximum username length: 32

Home directory base: /home

Default shell: <strong>/bin/sh</strong>

Default users group: ipausers

Default e-mail domain: <strong>izero.lan</strong>

Search time limit: 2

Search size limit: 100

User search fields: uid,givenname,sn,telephonenumber,ou,title

Group search fields: cn,description

Enable migration mode: FALSE

Certificate Subject base: O=IZERO.LAN

Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject

Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser,

posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,

ipasshuser

Password Expiration Notification (days): 4

Password plugin features: AllowNThash, KDC:Disable Last Success

SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$sysadm_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023

Default SELinux user: unconfined_u:s0-s0:c0.c1023

Default PAC types: MS-PAC, nfs:NONE

IPA masters: freeipa.izero.lan

IPA master capable of PKINIT: freeipa.izero.lan

IPA CA servers: freeipa.izero.lan

IPA NTP servers: freeipa.izero.lan

IPA CA renewal master: freeipa.izero.lan

IPA DNS servers: freeipa.izero.lan

cn: ipaConfig

objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject, ipaUserAuthTypeClass,

ipaNameResolutionData

Changer le shell par défaut pour tous les nouveaux utilisateurs

 $ ipa config-mod --defaultshell=<strong>/bin/bash</strong>

1	$ ipa config-mod --defaultshell=<strong>/bin/bash</strong>

Changer le domaine mail par défaut pour tous les […]

[FreeIPA] Gestion des utilisateurs et groupes

31 octobre 202026 juillet 2021 BEF Laisser un commentaire

Gestion des utilisateurs et groupes sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Quelques commandes de base en cli Créer un utilisateur

$ ipa user-add <strong>utilisateur </strong>--first=<strong>Prenom </strong>--last=<strong>Nom</strong> --password

1	$ ipa user-add <strong>utilisateur </strong>--first=<strong>Prenom </strong>--last=<strong>Nom</strong> --password

Password:
Enter Password again to verify:
------------------------
Added user "utilisateur"
------------------------
  User login: utilisateur
  First name: Prenom
  Last name: Nom
  Full name: Prenom Nom
  Display name: Prenom Nom
  Initials: PN
  Home directory: /home/utilisateur
  GECOS: Prenom Nom
  Login shell: /bin/bash
  Principal name: utilisateur@IZERO.LAN
  Principal alias: utilisateur@IZERO.LAN
  User password expiration: 20201024201605Z
  Email address: utilisateur@izero.lan
  UID: 69200013
  GID: 69200013
  Password: True
  Member of groups: ipausers
  Kerberos keys available: True

Password:

Enter Password again to verify:

------------------------

Added user "utilisateur"

------------------------

User login: utilisateur

First name: Prenom

Last name: Nom

Full name: Prenom Nom

Display name: Prenom Nom

Initials: PN

Home directory: /home/utilisateur

GECOS: Prenom Nom

Principal name: utilisateur@IZERO.LAN

Principal alias: utilisateur@IZERO.LAN

User password expiration: 20201024201605Z

Email address: utilisateur@izero.lan

UID: 69200013

GID: 69200013

Password: True

Member of groups: ipausers

Kerberos keys available: True

/!\ L’utilisateur est invité a changer son mot de passe a la première connexion. Se rendre sur l’interface graphique https://fqdn/ipa/ui […]

[FreeIPA] Installation du serveur et premiers pas

31 octobre 202020 janvier 2022 BEF Laisser un commentaire

Installation du serveur et premiers pas sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Pour permettre l’authentification des utilisateurs et l’enregistrement des machines a la manière d”un Active Directory et de son service dns Pour les besoins du tuto 1 vm Centos 7 pour […]

[FreeIPA] sssd krb5_child Clock skew too great

31 août 202031 août 2020 BEF Laisser un commentaire

sssd krb5_child Clock skew too great avec FreeIPA Article original Publié le : 31 aout 2020 Mise a jour le : – Cette erreur est intervenue a l’authentification d’une machine via un serveur FreeIPA Pour corriger rapidement faire un date suivie d’un reload du service sssd

$ sudo date -s "hh:mm:ss"

1	$ sudo date -s "hh:mm:ss"

$ sudo systemclt reload sssd

1	$ sudo systemclt reload sssd

Pour une correction pérenne, […]

[FreeIPA] Enroller une machine

13 janvier 201913 janvier 2019 BEF Laisser un commentaire

Enrôler une machine sur FreeIPA Article original Publié le : 13 janvier 2018 Mise a jour le : – Le principe de l’enrôlement sur FreeIPA est similaire a un AD, il inscrit la machine dans le dns et permet de pouvoir s’authentifier avec son compte déclaré dans le domaine. Le pré-requis étant […]

[FreeIPA] Expiration du mot de passe

28 août 20182 septembre 2018 BEF Laisser un commentaire

Expiration du mot de passe dans FREEIPA Pour palier a l’expiration du mot de passe tous les 3 mois. Il faut préalablement créer une autorisation : (cela renverra sinon “ipa error insufficient access insufficient ‘write’ privilege to the krbpasswordexpiration”.)

# kinit admin

1	# kinit admin

# ipa role-add-member --groups=admins 'User Administrator'

1	# ipa role-add-member --groups=admins 'User Administrator'

# ipa permission-add 'Set Password Expiry' --permissions=write --type=user --attrs=krbPasswordExpiration

1	# ipa permission-add 'Set Password Expiry' --permissions=write --type=user --attrs=krbPasswordExpiration

Donner un privilège a cette autorisation

# ipa privilege-add-permission 'User Administrators' --permission='Set Password Expiry'

1	# ipa privilege-add-permission 'User Administrators' --permission='Set Password Expiry'

Pour […]

[FreeIPA] Réinscription dns d’une machine

13 août 201813 août 2018 BEF Laisser un commentaire

Réinscription dns d’une machine Après avoir modifié l’IP d’une machine et changé son vlan, je désinscrit la machine a travers le commande uninstall et je la réinscrit de façon tout aussi automatique. Une fois l’IP changé, lancer la commande suivante. (peux etre nécessaire d’ajouter le paramètre –updatedns si la machine ne […]