FreeIPA liegt aktuell in der Version 3.3.3 vor und lässt sich am einfachsten mit Fedora ausprobieren. Die Version 3.2 ist beispielsweise in den Paketquellen von Fedara 19 enthalten – nach dem Aktivieren des Repository
»fedora-updates-testing
«
auch in der aktuellen Version 3.3.3. Optional gibt es den Quellcode unter
[9]
.
Zum Aufsetzen des FreeIPA-Servers genügt es, das Paket
»freeipa-server
«
zu installieren, was unter Fedora 19 das Auflösen einer stattlichen Anzahl von Abhängigkeiten nach sich zieht: rund 70 Pakete einschließlich
»krb5
«
,
»nss-tools
«
,
»389-ds-base
«
,
»certmonger
«
und so weiter. Ein eigener DNS-Server ist nicht zwingend erforderlich, weil FreeIPA auch das Einbinden eines existierenden DNS erlaubt. Will man selber den Namensdienst betreiben, muss man außerdem das LDAP-Backend-Plugin für BIND in Form des Paketes
»bind-dyndb-ldap
«
installieren.
Zur Grundkonfiguration des FreeIPA-Domänen-Controllers dient das Skript
»ipa-server-install
«
, das entweder interaktiv eine Anzahl von Parametern abfragt oder die Argumente als Parameter erwartet, wie zum Beispiel
»-n
«
(Domain-Name) ,
»-r
«
(Realm-Name),
»-p
«
(Master-Passwort) oder
»-a
«
(Admin-Passwort). Ferner wird mit
»-setup-dns
«
bei Bedarf eine DNS-Zone generiert und ein DNS-Server konfiguriert, was allerdings erfordert, mit
»-forwarder
«
einen externen DNS-Forwarder anzugeben oder die Option
»-no-forwarders
«
zu verwenden.
Mit
»-U
«
(unmaintained) lässt sich auch jede Nutzer-Interaktion unterdrücken, was voraussetzt, alle benötigten Parameter beim Aufruf zu übergeben. Das Setup eines DNS kann allerdings auch später mit
»ipa-dns-install
«
erfolgen. Ein Vorteil des eigenen DNS besteht darin, dass dieser sowohl A- und PTR-Records für sämtliche Domänen-Mitglieder als auch Service-Records zur Verfügung stellt. Clients haben dann die Möglichkeit, den richtigen Kerberos- beziehungsweise LDAP-Server über ein DNS-Recovery zu ermitteln.
Im Beispiel kommt die interaktive Variante zum Einsatz, bei der per Default keine DNS-Konfiguration stattfindet.Das Skript erzeugt und konfiguriert eine Instanz des 389-DS, erzeugt und konfiguriert ein KDC, richtet den Apache-Webserver für den Zugriff auf das Web-Interface ein, konfiguriert den NTP-Daemon und eine Standalone-CA für das Dogtag-Certificate-Management-System. Im Anschluss an die Frage, ob das System einen DNS konfigurieren soll oder nicht, ist der vollständige FQDN des FreeIPA-Servers anzugeben. Gleiches gilt anschließend für den Domain-Namen (ohne Host-Teil) und den Kerberos-Realm, bei dem sich ebenfalls in der Regel der Default-Vorschlag übernehmen lässt.
Nach erfolgreicher Installation zeigt das Skript eine Zusammenfassung der konfigurierten Ports für das Web-Interface (HTTP 80, HTTPS 443), 389-DS (LDAP 389, LDAPS 636) und Kerberos (88, 464) sowie der benötigten und konfigurierten UDP-Ports an.
FreeIPA lässt sich wahlweise vollständig über das Kommandozeilenwerkzeug
»ipa
«
oder über das Web-Interface administrieren.