Comment créer des répertoires personnels itinérants dans Linux avec IdM

Les répertoires personnels itinérants sont un moyen pratique de gérer plusieurs machines dans un réseau local. Cela fonctionne en utilisant un serveur IdM pour maintenir une liste d’utilisateurs et un serveur NFS qui contient les données des utilisateurs. Cela vous permet de vous connecter à n’importe quelle machine d’un réseau et d’obtenir le même ensemble de fichiers à chaque fois.

Cet article vous montrera comment créer un répertoire personnel itinérant ainsi qu’un serveur de gestion d’identité en utilisant IdM de Red Hat dans RHEL 8. De plus, il vous montrera également comment inscrire une machine locale pour utiliser le même système d’identité et de répertoire itinérant.

Table des matières

• 1. Configuration d’un serveur Red Hat IdM
• 2. Activation de NFS Automount sur votre serveur IdM
• 3. Ajout d’utilisateurs à IdM
• Questions fréquentes

Astuce : Si tout ce que vous voulez est de déplacer votre dossier /Home vers une autre partition, nous avons les instructions ici.

1. Configuration d’un serveur Red Hat IdM

Hypothèse : Ce guide suppose que vous avez un nom de domaine avec un enregistrement A et PTR pointant vers l’adresse IP et le nom d’hôte de votre machine IdM.

Remarque : Le système IdM nécessite un bloc de sous-domaine entier pour fonctionner correctement. Dans ce cas, nous configurons IdM pour le sous-domaine “mte.home.arpa.”

Définissez le nom d’hôte de votre serveur IdM sur un nom de domaine complet :

sudo hostnamectl set-hostname idm.mte.home.arpa

Ouvrez les ports pertinents pour votre serveur IdM :

sudo firewall-cmd --permanent--add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}  
sudo firewall-cmd --reload

Activez le module de dépôt pour les binaires du serveur IdM :

sudo dnf module enable idm:DL1  
sudo dnf distro-sync

Récupérez le binaire côté serveur IdM sur votre machine :

sudo dnf module install idm:DL1/dns

Installation et configuration du serveur Red Hat IdM

Exécutez la commande suivante pour commencer le processus d’installation du serveur IdM :

sudo ipa-server-install --mkhomedir

Tapez “oui”, puis appuyez sur Entrée lorsque l’installateur vous demande si vous souhaitez inclure un serveur DNS intégré dans votre configuration IdM.

Tapez le nom d’hôte de votre serveur, puis appuyez sur Entrée.

Appuyez deux fois sur Entrée pour confirmer le nom de domaine du réseau.

Fournissez un mot de passe sécurisé pour le Gestionnaire de répertoire de votre réseau, puis appuyez sur Entrée. Cela est similaire au mot de passe root de la base de données d’un serveur web.

Fournissez un mot de passe sécurisé différent pour l’utilisateur admin de votre serveur IdM, puis appuyez sur Entrée. Cela servira de compte principal de gestion dans le réseau.

Activez la fonction de transfert DNS du serveur IdM en tapant “oui”, puis appuyez sur Entrée.

Appuyez deux fois sur Entrée pour accepter les valeurs par défaut des domaines du serveur IdM.

Tapez “non”, puis appuyez sur Entrée pour désactiver la recherche de zone inverse dans IdM.

Appuyez deux fois sur Entrée, puis tapez “oui”, puis appuyez à nouveau sur Entrée pour finaliser la configuration de votre serveur et commencer le processus d’installation.

Allez chez votre registraire DNS et créez un enregistrement NS pour votre sous-domaine IdM. Cet enregistrement doit pointer vers le nom d’hôte de votre serveur IdM. Par exemple, l’enregistrement NS pour mon sous-domaine IdM : “mte.home.arpa.” pointe vers mon serveur IdM “idm.mte.home.arpa.”

Bon à savoir : Consultez notre guide pour découvrir la différence entre RedHat, CentOS et Fedora.

2. Activation de NFS Automount sur votre serveur IdM

Ouvrez les ports pertinents pour votre nouveau service NFS :

sudo firewall-cmd --permanent--add-service=nfs  
sudo firewall-cmd --reload

Exécutez les commandes suivantes pour créer un ticket IdM pour votre service NFS :

kinit admin  
sudo ipa service-add nfs/idm.mte.home.arpa  
sudo ipa-getkeytab -p nfs/idm.mte.home.arpa -k/etc/krb5.keytab

Créez un nouveau fichier sous “/etc/exports.d/“ pour votre répertoire personnel itinérant :

sudonano/etc/exports.d/home.exports

Collez la ligne de code suivante dans votre nouveau fichier d’exports :

/home *(sec=krb5:krb5p:krb5i,rw)

Enregistrez votre fichier “home.exports”, puis exécutez la commande suivante pour l’appliquer à votre serveur :

sudo exportfs -rav

Démarrez votre serveur NFS pour activer ses nouveaux paramètres :

sudo systemctl enable--now nfs-server

Vérifiez si votre serveur IdM exporte correctement son “/home” en exécutant la commande suivante :

sudo exportfs -s

Liez vos serveurs NFS et IdM en créant une carte d’automontage et une clé :

kinit admin  
sudo ipa automountmap-add-indirect default auto.home --mount=/home  
sudo ipa automountkey-add default auto.home --key"*"--info"idm.mte.home.arpa:/home/&"

3. Ajout d’utilisateurs à IdM

Ouvrez un navigateur web et accédez au nom de domaine de votre serveur IdM. Cela ouvrira la console web du serveur. Connectez-vous à cette console avec les identifiants de votre admin IdM.

Remarque : Certains navigateurs peuvent renvoyer une erreur de sécurité lors du chargement de la page web de la console. Dans Firefox, vous pouvez contourner cela en cliquant sur “Avancé” puis “Accepter le risque et continuer.”

Sélectionnez la catégorie “Stage Users” dans la barre latérale gauche de la console web.

Cliquez sur le bouton “Ajouter” dans le coin supérieur droit de la page.

Cela fera apparaître une petite fenêtre où vous pourrez fournir les détails de votre nouvel utilisateur. Remplissez tous les champs sauf “Classe” puis cliquez sur “Ajouter.”

Cochez la case à côté de votre compte utilisateur, puis cliquez sur “Activer” pour activer le nouvel utilisateur.

Enfin, connectez-vous à votre serveur IdM en utilisant votre compte IdM pour générer votre répertoire “/home”.

4. Ajout de nouvelles machines au système IdM

Installez le binaire côté client IdM sur votre ordinateur local :

sudo dnf module install idm

Commencez le processus d’installation du client IdM en exécutant la commande suivante :

sudo ipa-client-install --enable-dns-updates

Tapez “non” à l’invite NTP, puis appuyez sur Entrée.

Le programme ipa-client-install affichera ensuite un résumé des détails de votre serveur IdM. Tapez “oui”, puis appuyez sur Entrée pour commencer le processus d’inscription.

Fournissez le nom d’utilisateur de l’admin IdM pour votre réseau, tapez son mot de passe puis appuyez sur Entrée.

Activation de l’automontage sur la machine cliente IdM

Exécutez la commande suivante pour lier les détails d’automontage IdM à votre machine cliente :

sudo ipa-client-automount

Redémarrez certains des services clés pour le démon d’automontage de votre système :

sudo systemctl restart rpc-gssd  
sudo systemctl restart rpcbind  
sudo systemctl restart nfs-idmapd

Redémarrez votre système et cliquez sur “Non répertorié ?” sur l’écran de connexion du système client.

Fournissez le nom d’utilisateur de votre utilisateur IdM ainsi que son mot de passe, puis cliquez sur “Se connecter.”

Testez si votre répertoire itinérant fonctionne en créant un fichier sur votre serveur IdM et en vérifiant s’il apparaît sur votre machine cliente.

Questions fréquentes

Est-il possible de migrer une machine avec un /home local vers un itinérant ?

Oui. Vous pouvez le faire en exécutant la commande ipa-client-install sur votre machine cible. Cependant, cela ne fonctionnera que sur un système où vous n’avez pas encore de répertoire “/home”. Cela est dû au fait que les répertoires itinérants écraseront toujours le “/home”, rendant les fichiers locaux inaccessibles lors de l’utilisation normale.

Y a-t-il des limitations à l’utilisation de répertoires itinérants ?

L’une des plus grandes limitations des répertoires itinérants est que le système de fichiers ne peut être aussi rapide que l’interface réseau de votre serveur NFS. Par exemple, si le débit maximum du serveur est de 1 Gigabit, chaque opération de fichier sur le “/home” de la machine cliente s’exécutera à 1 Gigabit.

Pouvez-vous inscrire des machines non-Enterprise Linux dans des répertoires itinérants ?

Oui et non. Les programmes ipa-server-install et ipa-client-install sont des outils spécifiques à Red Hat qui sont destinés à fonctionner sur des distributions Linux similaires à Red Hat. Bien qu’il ne soit pas possible de les utiliser avec Debian et Ubuntu, vous pouvez inscrire d’autres distributions Linux Red Hat telles que Fedora et CentOS Stream à votre serveur IdM.

Crédit image : Marvin Meyer via Unsplash. Toutes les modifications et captures d’écran par Ramces Red.