Red Hat Identity Management – Instalación (Parte II)

Etiquetas: Linux, Seguridad

Objetivos

Después de completar este documento, se tendrá la capacidad de:

  • Describir los prerrequisitos para personalizar instalaciones regulares del producto.
  • Describir el proceso de instalación y desinstalación del IdM.

Ambiente

El ambiente por utilizar en esta serie de artículos está basado en los siguientes elementos:

Desarrollo

Prerrequisitos para la instalación de un servidor IdM

Red Hat Identity Management (IdM) es un producto creado para los usuarios que esperan utilizar herramientas nativas en ambientes Linux para la creación de almacenes de identidades, centralizar la autenticación, crear controladores de dominio, autorización de políticas de Kerberos y servicios DNS para par todos los sistemas Linux de una organización. IdM está incluido en cada sistema RHEL.

Con esta inclusión de facto dentro de repositorios de RHEL, permitirá convertir a un sistema en un controlador de dominio funcional que comparta servicios centralizados tales como Kerberos y DNS con otros servidores y clientes.

Recomendaciones de Hardware

Si se piensa en realizar una implementación de IdM, se debe de considerar el diseño (arquitectura, topología del IdM) y en el espacio utilizado antes de realizar una instalación. Por lo pronto, Red Hat recomienda práctica el instalar múltiples servidores, configurado con replicación para un mejor rendimiento, con redundancia, y considerando que la solución este balanceada en cuanto a la distribución de datos.

El IdM almacena la información en cache, por lo que la consideración de asignar memoria RAM es muy importante desde el propio diseño. Red Hat, pone a consideración las siguientes reglas para determinar qué cantidad de RAM puede asignarse a servidores para la instalación del IdM:

  • Para un servidor IdM con 10,000 usuarios y 100 grupos requiere como mínimo de 3 GB RAM y 1 GB de espacio para swap.
  •  Para un servidor IdM con más de 100,000 usuarios y 50,000 grupos, se requiere como mínimo 16 GB RAM en memoria y 4 GB de espacio para swap.

La definición o alta de una entrada de usuario básica o de un host con certificados consume alrededor de 10 KB de tamaño. Considérese que para implementaciones grandes el incrementar el recurso de memoria en relación de los datos almacenados en cache.

Requerimientos del sistema

Para la instalación de la solución IdM, considere lo siguiente:

  • Si la instalación va a ser sobre nuevo servidor IdM, este debe estar “limpio”, es decir, sin ningún servicio DNS, Kerberos, o instancia Directory Server.
  • En el proceso de instalación de un servidor IdM, si detecta que hay una instalación previa, este respalda algunos archivos de sistema que luego sobrescribirá. Este respaldo lo ubica en el directorio /var/lib/ipa/sysrestore/.
  • Deshabilite el servicio de cache NSCD (Name Service Cache Daemon), ya que es un servicio viejo que es utilizado en soluciones de administración de identidades, y en sistemas nuevos se hace uso del nuevo demonio SSSD (tal es el caso del IdM), además, estos demonios son exclusivos el uno del otro. Asegúrese que el servicio NSCD siempre este apagado y deshabilitado.
  • Considere tener habilitado el servicio SSSD para llevar a cabo las actividades de caching, ya que el IdM lo utiliza.
  • La resolución de nombres que realiza el IdM mediante el uso de librerías requiere que el soporte de IPv6 este habilitado a nivel del kernel, no es necesario el que se usen direcciones IPv6, pero la pila de protocolos IPv6 debe estar habilitada. Para RHEL 7, IPv6 está habilitado por defecto, y en caso de que se deshabilite el soporte para la pila de protocolos desde nivel de kernel, el IdM no es capaz de operar de con plugins importantes contenidos en el componente LDAP, los cuales son requeridos para interoperar con un Active Directory.
  • El servidor IdM debe estar configurado de apropiadamente en cuanto al servicio DNS se refiere. El IdM necesita resolver apropiadamente su nombre de dominio en ambos sentidos, es decir el FQDN y el reverso DNS a la hora de consultar nombres. Muchas funcionalidades del IdM dependen de los registros DNS, incluyendo los servicios de directorio LDAP, Kerberos, y la integración de Active Directory. Esto es extremadamente importante, ya que una vez configurado el dominio DNS y nombre de dominio de Kerberos, este no puede ser cambiado.
  • Utilizar el comando hostnamectl set-hostname NEW_FQDN_NAME para establecer el FQDN para el host, considerando que debe resolver a la IP pública o interna de la organización y no a la dirección IP loopback 127.0.0.1.
  • Verifica la dirección IP utilizando el comando ip addr show o el comando dig, para verificar el FQDN y el reverso:
[root@demo ~]# dig demo.example.com
(...);;
ANSWER SECTION:
demo.example.com. 3600 IN A 172.20.150.8
(...)
[root@demo ~]# dig -x 192.168.122.3
(...);;
ANSWER SECTION:
3.122.168.192.in-addr.arpa. 3600 IN PTR demo.ca.example.com.
(...)
  • Tener cuidado con realizar modificaciones anuales sobre el archivo /etc/hosts, asegurándose de no colocar el nombre del servidor IdM en la misma línea de la entrada de localhost esto puede traer un mal funcionamiento o comportamiento del IdM.
  • La solución IdM utiliza un conjunto de puertos para la comunicación con sus servicios en una arquitectura cliente-servidor. Asegúrese de que los siguientes puertos no estén bloqueados por algún firewall: 80,443,389,636,88,464,53 (TCP) and 88,464,53,123 (UDP).
[root@demo ~]# firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,kerberos,kpasswd} --permanent
[root@demo ~]# firewall-cmd --runtime-to-permanent

Instalación del servidor IdM

El producto IdM, al estar incluido en una suscripción estándar de Red Hat Enterprise Linux, lo que se tiene que hacer es usarlo. Antes de poder crear una instancia IdM, se requiere de la instalación del paquete ipa-server. Dependiendo de la arquitectura y del diseño, de la instalación de más paquetes con base a las opciones proporcionadas.


[root@demo ~]# yum install ipa-server ipa-server-dns
(...)
Transaction Summary
============================================
Install 2 Packages (+227 Dependent packages)
Total download size: 113 M
Installed size: 300 M
Is this ok [y/d/N]: y

Dependencias importantes con las que cuenta el paquete ipa-server, son 389-ds-base que brinda el servicio del LDAP y el paquete krb5-server para el servicio de Kerberos, así como también herramientas propias para la administración del IdM, solo por mencionar algunas.

Script de instalación IdM

Una vez que todas las dependencias han sido instaladas, y no haya error alguno se puede ejecutar el script ipa-server-install, el cual inicia de forma interactiva (por defecto) el proceso de instalación del servidor/instancia IdM.

Durante el proceso de creación de la instancia del IdM, se crea y configura el dominio IdM  y otros servicios relacionados (componentes):

  • Instancia 389 LDAP Directory Server
  • Kerberos key distribution center (KDC)
  • Active Directory WinSync plug-in
  • Certificate Authority (CA)
  • Network time protocol daemon (ntpd)
  • Apache (httpd)
  • SELinux targeted policy
  • Domain Name Service (DNS) – Opcional

La definición del dominio IdM, son de acuerdo con las necesidades de la organización y si se tiene desde un inicio, el proceso de configuración puede reducirse ya que se requerirá de una cantidad pequeña de información para su configuración, o de caso contrario se puede jugar con las opciones de este script, y realizar una configuración específica de acuerdo a la definición realizada por el usuario, mismas que impactaran en las diversas partes del servicio que da la solución IdM.

Para acceder a una lista detallada de opciones disponibles se puede consultar la página del manual ipa-server-install.

Para el próximo artículo, se explicarán los componentes que forman parte de la solución del IdM de Red Hat.

Deja un comentario