Cara Centralisasi Autentikasi Server Linux dengan FreeIPA - Sebagai "anak IT" khususnya yang bergelut di bagian system administrator pasti setiap hari bersentuhan langsung dengan server, dan untuk mengakses sebuah server pun membutuhkan username dan password sebagai sebuah bagian dari keamanan server. Seorang system administrator pun juga harus membagikan akses server tersebut kepada orang - orang atau divisi lain yang memiliki kepentingan, tentu kita tidak membagikan user root kepada orang lain karena alasan keamanan, lalu bagaimana cara mengatasinya?

Logo FreeIPA

Sebuah autentikasi tercentralisasi dapat menjadi sebuah solusi bagi seorang administrator untuk melakukan user management setiap server. Karena sepengalaman saya sendiri sedikit ribet untuk memanage user 1 per 1 pada server, seperti membuat user baru pada beberapa server jika ada karyawan baru, ataupun menghapus user pada server jika ada karyawan yang resign.

Setelah saya install FreeIPA dan mengintegrasikan kepada server, saya lebih mudah memanajemen user pada setiap server yang saya pegang, karena dengan FreeIPA kita bisa membuat grouping server apa saja yang bisa di akses oleh user, dan menentukan apakah ada command yang bisa di blokir untuk dijalankan oleh si user, contohnya seperti command shutdown. Berikut ini adalah tutorial Cara Centralisasi Autentikasi Server Linux dengan FreeIPA.

Tutorial

Sebelumnya memulai tutorialnya, berikut spesifikasi server dan client yang saya gunakan.

Node	OS	IP	Hostname
Server	Centos 7	10.0.10.20	ipa-server.teknisi-it.com
Client	Centos 7	10.0.10.21	ipa-client.teknisi-it.com

Pertama - tama, mari mulai untuk instalasi dari FreeIPA server.

Server

Jika hostname server FreeIPA kalian belum berbentuk domain, ubah hostname menjadi format domain, disini saya mengubah hostname server menjadi ipa.sample.co.id, karena untuk instalasi FreeIPA di sisi server maupun client harus memiliki hostname dengan format domain.

server#hostnamectl set-hostname ipa-server.teknisi-it.com

Lalu tambahkan hostname yang baru kita buat pada /etc/hosts dengan ip nya server tersebut

vi /etc/hosts
10.0.10.20 ipa-server.teknisi-it.com

Test ping ke arah hostname apakah sudah reply dengan ip yang benar
Jika sudah reply dengan ip yang benar, install package freeipa server

yum install ipa-server -y

Setelah itu jalankan command dibawah ini untuk melakukan instalasi freeIPA pada server

ipa-server-install

Setelah dijalankan command diatas, maka akan ada beberapa form yang harus diisi, berikut contoh form yang sudah diisi

you want to configure integrated DNS (BIND)? [no]: no
Server host name [ipa-server.teknisi-it.com]: ipa-server.teknisi-it.com
Please confirm the domain name [teknisi-it.com]: ipa-server.teknisi-it.com
Please provide a realm name [IPA-SERVER.TEKNISI-IT.COM]: IPA-SERVER.TEKNISI-IT.COM
Directory Manager password: Teknisi23
Password (confirm): Teknisi23
IPA admin password: Teknisi23
Password (confirm): Teknisi23
Continue to configure the system with these values? [no]: yes

Dari gambar diatas, saya melengkapi form dengan ketentuan berikut.

Memasukan "no" untuk instalasi dns server, karena saya sudah memiliki dns tersendiri

Server hostname langsung dienter, karena hostname pada server sudah berupa domain

Untuk domain diisi sama dengan server hostname, ini digunakan client sebagai alamat untuk melakukan autentikasi, tidak disarankan untuk menggunakan top domain.

Dan untuk realm, menggunakan domain yang sama, namun perbedaannya hanya di capslock

Lalu saya memberikan password untuk administrator FreeIPA nantinya.

Setelah instalasi sudah selesai, buka semua port yang dibutuhkan pada server

firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,464/tcp,53/tcp,88/udp,464/udp,53/udp,123/udp}
firewall-cmd --reload

Setelah selesai, dashboard dapat diakses dengan https://ipa-server.teknisi-it.com menggunakan user dan password yang sudah di konfigur sebelumnya

Client

Sama halnya pada server, lakukan perubahan hostname pada sisi client dengan format menjadi domain

hostnamectl set-hostname ipa-client.teknisi-it.com

Lakukan pengecekan pin ke arah domain server, jika tidak reach, tambahkan pada /etc/hosts

vi /etc/hosts
10.0.10.20 ipa-server.teknisi-it.com

Install freeipa client pada sisi client

yum install -y freeipa-client

Lakukan install freeipa dengan menjalankan command berikut

ipa-client-install --mkhomedir

Akan ada beberapa form yang diberikan juga untuk melakukan integrasi dengan server, berikut hasil form yang saya isi

Provide the domain name of your IPA server (ex: example.com): ipa-server.teknisi-it.com
Provide your IPA server name (ex: ipa.example.com):
ipa-server.teknisi-it.com
Proceed with fixed values and no DNS discovery? [no]: yes
Continue to configure the system with these values? [no]: yes
User authorized to enroll computers: admin
Password for admin@IPA-SERVER.TEKNISI-IT.COM:Teknisi23

Validasikan apakah client sudah terhubung pada server dengan jalankan seperti berikut.

Validasi

Disini saya mengakses dashboard ipaserver, dan membuat user untuk testing

Saya membuat user teknisi-it dengan password Teknisi23.

Sebelumnya, silahkan check pada menu Host, apakah hostname client sudah terdaftar atau belum.

Pada gambar diatas sudah terlihat bahwa server dengan hostname ipa-client.teknisi-it.com sudah terdaftar pada server. Setelah itu kita bisa melakukan test login pada client menggunakan user teknisi-it

Saat user baru pertama kali login ke dalam server, secara otomatis akan diminta untuk membuat password baru. Dan setelah itu user sudah dapat digunakan sebagaimana mestinya.

Pada FreeIPA ini banyak sekali fitur yang dapat digunakan, seperti grouping access, hingga pembatasan command yang bisa digunakan oleh user, silahkan oprek lebih dalem lagi, dan mungkin dikemudian waktu akan saya bahas terkait fitur - fitur yang ada pada FreeIPA.

Silahkan komentar jika ada pertanyaan atau pernyataan.

Thank you!