Renouvellement des certificats sur FreeIPA Article original Publié le : 21 novembre 2020 Mise a jour le : – Par défaut les certificats sont en auto-renew via le service certmonger qui essayera de renouveler le certificat 28 jours avant son expiration https://www.freeipa.org/page/Certmonger Si le certificat venait a ne pas être renouvelé il […]
Catégorie : Freeipa
[Linux] Mise en place d’un serveur FreeRADIUS
Mise en place d’un serveur FreeRADIUS sur Linux Article original Publié le : 21 novembre 2020 Mise a jour le : – Pour les besoins de faire de l’authent sur un serveur proxy Opnsense et des switchs, voici un simple tuto pour la mise en place de FreeRADIUS sur une Centos 7.x et […]
[FreeIPA] Changer les attributs shell et mail par défaut
Changer les attributs shell et mail par défaut sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Pour lister la conf actuelle
|
1 |
$ ipa config-show --all |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
dn: cn=ipaConfig,cn=etc,dc=izero,dc=lan Maximum username length: 32 Home directory base: /home Default shell: <strong>/bin/sh</strong> Default users group: ipausers Default e-mail domain: <strong>izero.lan</strong> Search time limit: 2 Search size limit: 100 User search fields: uid,givenname,sn,telephonenumber,ou,title Group search fields: cn,description Enable migration mode: FALSE Certificate Subject base: O=IZERO.LAN Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser Password Expiration Notification (days): 4 Password plugin features: AllowNThash, KDC:Disable Last Success SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$sysadm_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 Default SELinux user: unconfined_u:s0-s0:c0.c1023 Default PAC types: MS-PAC, nfs:NONE IPA masters: freeipa.izero.lan IPA master capable of PKINIT: freeipa.izero.lan IPA CA servers: freeipa.izero.lan IPA NTP servers: freeipa.izero.lan IPA CA renewal master: freeipa.izero.lan IPA DNS servers: freeipa.izero.lan cn: ipaConfig objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject, ipaUserAuthTypeClass, ipaNameResolutionData |
Changer le shell par défaut pour tous les nouveaux utilisateurs
|
1 |
$ ipa config-mod --defaultshell=<strong>/bin/bash</strong> |
Changer le domaine mail par défaut pour tous les […]
[FreeIPA] Gestion des utilisateurs et groupes
Gestion des utilisateurs et groupes sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Quelques commandes de base en cli Créer un utilisateur
|
1 |
$ ipa user-add <strong>utilisateur </strong>--first=<strong>Prenom </strong>--last=<strong>Nom</strong> --password |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Password: Enter Password again to verify: ------------------------ Added user "utilisateur" ------------------------ User login: utilisateur First name: Prenom Last name: Nom Full name: Prenom Nom Display name: Prenom Nom Initials: PN Home directory: /home/utilisateur GECOS: Prenom Nom Login shell: /bin/bash Principal name: utilisateur@IZERO.LAN Principal alias: utilisateur@IZERO.LAN User password expiration: 20201024201605Z Email address: utilisateur@izero.lan UID: 69200013 GID: 69200013 Password: True Member of groups: ipausers Kerberos keys available: True |
/!\ L’utilisateur est invité a changer son mot de passe a la première connexion. Se rendre sur l’interface graphique https://fqdn/ipa/ui […]
[FreeIPA] Installation du serveur et premiers pas
Installation du serveur et premiers pas sur FreeIPA Article original Publié le : 31 octobre 2020 Mise a jour le : – Pour permettre l’authentification des utilisateurs et l’enregistrement des machines a la manière d”un Active Directory et de son service dns Pour les besoins du tuto 1 vm Centos 7 pour […]
[FreeIPA] sssd krb5_child Clock skew too great
sssd krb5_child Clock skew too great avec FreeIPA Article original Publié le : 31 aout 2020 Mise a jour le : – Cette erreur est intervenue a l’authentification d’une machine via un serveur FreeIPA Pour corriger rapidement faire un date suivie d’un reload du service sssd
|
1 |
$ sudo date -s "hh:mm:ss" |
|
1 |
$ sudo systemclt reload sssd |
Pour une correction pérenne, […]
[FreeIPA] Enroller une machine
Enrôler une machine sur FreeIPA Article original Publié le : 13 janvier 2018 Mise a jour le : – Le principe de l’enrôlement sur FreeIPA est similaire a un AD, il inscrit la machine dans le dns et permet de pouvoir s’authentifier avec son compte déclaré dans le domaine. Le pré-requis étant […]
[FreeIPA] Expiration du mot de passe
Expiration du mot de passe dans FREEIPA Pour palier a l’expiration du mot de passe tous les 3 mois. Il faut préalablement créer une autorisation : (cela renverra sinon “ipa error insufficient access insufficient ‘write’ privilege to the krbpasswordexpiration”.)
|
1 |
# kinit admin |
|
1 |
# ipa role-add-member --groups=admins 'User Administrator' |
|
1 |
# ipa permission-add 'Set Password Expiry' --permissions=write --type=user --attrs=krbPasswordExpiration |
Donner un privilège a cette autorisation
|
1 |
# ipa privilege-add-permission 'User Administrators' --permission='Set Password Expiry' |
Pour […]
[FreeIPA] Réinscription dns d’une machine
Réinscription dns d’une machine Après avoir modifié l’IP d’une machine et changé son vlan, je désinscrit la machine a travers le commande uninstall et je la réinscrit de façon tout aussi automatique. Une fois l’IP changé, lancer la commande suivante. (peux etre nécessaire d’ajouter le paramètre –updatedns si la machine ne […]