[Rh-community-de-hh] Red Hat Community Hamburg

Mon Oct 28 10:10:29 UTC 2013

On 25.10.2013 21:42, Ingo Boernig wrote:
> Hallo Red Hat Community in Hamburg!
>
> Vielen Dank für die rege Teilnahme an unserem ersten Community Meeting
> in Hamburg!
> Künftig können wir uns hier über diese Liste austauschen oder neue
> Themen oder Termine abstimmen.
>
> Luc de Louw wird sicherlich in den nächsten Tagen hier seine
> Präsentation und sein "Cheatsheet" an die Runde schicken.

Moin allerseits,

Auch von meiner Seite her noch ein Danke, war eine Gute Sache.

Wie versprochen, noch das SVG zur Präsi

Auch meine Gedankenstützen für das Konfigurieren der zwei Server und 
zwei Clients. Sind mit dabei.

Bei diesen vier Dateien ist zu Beachten das dies keine 
Installationsanleitung ist sondern wirklich nur eine Gedankenstütze für 
die einfache Demo. "Im richtigen Leben" soll eman einen Enrollment User 
definieren anstatt den "admin" user zu nutzen. Homedirectories werde 
natürlich per automount und nicht so wie demonstriert mounted werden.

Es kam noch die Frage der Skalierbarkeit auf. Bei RHEL6 sind es zur Zeit 
20 Multimaster Server, siehe auch 
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/service-interactions.html#ipa-servers-replicas 

Veiele Grüße,

Luc de Louw

-- 
Luc de Louw
Senior Linux Consultant
Red Hat GmbH
Rudower Chaussee 29
D-12489 Berlin

Email: ldelouw at redhat.com
Cell Germany: +49 162 413 29 64
Cell Switzerland: +41 78 664 58 13
Cell France: +33 609 18 57 09
Cell Netherlands: +31 6 21 48 18 67
Cell Uganda: +256 71 39 14 337
Office: +49 30 67 81 79 82 41

Reg. Adresse:    Red Hat GmbH, Technopark II, Haus C,
                   Werner-von-Siemens-Ring 14, D-85630 Grasbrunn
Handelsregister: Amtsgericht Muenchen HRB 153243
Geschäftsführer: Mark Hegarty, Charlie Peters,
                   Michael Cunningham, Charles Cachera
-------------- next part --------------
A non-text attachment was scrubbed...
Name: ipa-presi-community-meeting-hamburg-2013-10-22.svg
Type: image/svg+xml
Size: 120286 bytes
Desc: not available
URL: <http://listman.redhat.com/archives/rh-community-de-hh/attachments/20131028/af1494aa/attachment.svg>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: dig-SRV-entries-example.com
Type: application/octet-stream
Size: 171 bytes
Desc: not available
URL: <http://listman.redhat.com/archives/rh-community-de-hh/attachments/20131028/af1494aa/attachment.obj>
-------------- next part --------------
# Set up IPA
ipa-server-install --setup-dns --forwarder=192.168.122.1

# Get kerberos Ticket
kinit admin 

# Prepare for replica
ipa-replica-prepare ipa2.example.com

scp /var/lib/ipa/replica-info-ipa2.example.com.gpg ipa2.example.com:

#### Go to ipa1.example.com and set up the replica

# After setting up ipa2.example.com 

# Check result to show replication is working
ldapsearch -x -b "dc=example, dc=com" uid=htester

-------------- next part --------------
# Set up the second IPA server with Replica Information generated with replica-prepare
ipa-replica-install --setup-dns --forwarder=192.168.122.1 replica-info-ipa2.example.com.gpg

# Get a Kerberos Ticket
kinit admin

# Change default Shell
ipa config-mod --defaultshell=/bin/bash

# Add a new user
ipa user-add ldelouw --first "Luc" --last "de Louw"

# Set a password
ipa passwd ldelouw

# Add a second user
ipa user-add htester --first "Hans" --last "Tester"

# Set password
ipa passwd htester

##### Go to nfs.example.com

# After enrolling nfs.example.com, add the NFS service principal
ipa service-add nfs/nfs.example.com
-------------- next part --------------
# Enroll host
ipa-client-install

# Configure NFS to use Kerberos
perl -npe 's/#SECURE_NFS="yes"/SECURE_NFS="yes"/g' -i /etc/sysconfig/nfs

# Mount the homes (Note, normaly done with automount :-)
mount -t nfs4 nfs.example.com:/home/ /home

# Check UID Numbers
ls -lan /home

# Check User names
ls -la /home

-------------- next part --------------
# Set up client
ipa-client-install

# Get Kerberos Ticket
kinit admin

#### Go to ipa2.example.com and add the NFS service

ipa-getkeytab -s ipa1.example.com -p nfs/nfs.example.com -k /etc/krb5.keytab

# Configure NFS to user kerberos
perl -npe 's/#SECURE_NFS="yes"/SECURE_NFS="yes"/g' -i /etc/sysconfig/nfs

# Create homedirs 
# In real life we would use automount of course :-)
echo "/home  *(rw,sec=sys:krb5:krb5i:krb5p)" >> /etc/exports
mkdir /home/ldelouw && cp /etc/skel/.bash* /home/ldelouw 
mkdir /home/htester && cp /etc/skel/.bash* /home/htester 
chmod 700 /home/ldelouw && chown -R ldelouw:ldelouw /home/ldelouw
chmod 700 /home/htester && chown -R htester:htester /home/htester

# (Re-)start NFS
service nfs restart