Selbstverständlich lässt sich die gesamte Domäne mithilfe der Kommandozeile konfigurieren, aber FreeIPA bietet auch ein Webinterface mit wichtigen Einstellungsmöglichkeiten wie der Benutzer- und Gruppenverwaltung, DNS, Richtlinien, Berechtigungen und vielem mehr.
Man erreicht das Webinterface über IP-Adresse oder Hostname des FreeIPA-Domain-Controllers und wird ggf. automatisch über HTTPS zur Loginseite weitergeleitet. In meinem Fall wäre das zum Beispiel: https://192.168.111.10/ipa/ui. Auf dem Server selber reicht natürlich schlicht localhost. Auf der Login-Seite meldet man sich als Domänenadministrator admin an.
Wenn auf dem Rechner, von dem aus man auf das Webinterface zugreifen möchte, kein DNS-Server bekannt ist, der den Namen des FreeIPA-Servers auflösen könnte, empfiehlt sich ein Eintrag in die Datei /etc/hosts oder Zugriff per IP-Adresse.
Nach der Anmeldung öffnet sich die Liste der angelegten Benutzer. Standardmäßig ist zunächst nur der Domänenadministrator angelegt:
Natürlich können Benutzer in verschiedenen Gruppen Mitglied sein:
Das trifft natürlich auch auf Rechner zu, die in der Domäne aufgenommen wurden:
Wie lange sollen Kerberos-Tickets gültig sein, die für die Benutzeranmeldung ausgestellt werden?
Für die Passwortsicherheit von Benutzern sollten bestimmte Komplexitäts- und zeitliche Bedingungen in Richtlinien definiert werden:
Standardmäßig ist ein Passwort zum Beispiel 90 Tage gültig, bevor es wieder geändert werden muss:
Der Zugriff auf einzelne Funktionen der FreeIPA-Verwaltung kann anhand von Rollen nach den eigenen Bedürfnissen weiter eingeschränkt oder erweitert werden, zum Beispiel um Mitgliedern eines Support-Teams die Möglichkeit zu geben, Kennwörter für Benutzer zurückzusetzen:
Umgekehrt könnte man Benutzer auch zu einigen Funktionen im Rahmen von Self-Service berechtigen:
DNS ist ein zentraler, wenn auch optionaler Bestandteil von FreeIPA. Das Webinterface bietet eine komfortable Möglichkeit, DNS-Zonen zu verwalten:
Dazu gehört natürlich auch das Anlegen und Entfernen von DNS-Records:
Das war nur ein kurzer Ausflug in das Webinterface. Obwohl es nicht sämtliche Konfigurationsmöglichkeiten der Kommandozeilenwerkzeuge von FreeIPA unterstützt, konnte ich hoffentlich zeigen, dass für alltägliche und weniger alltägliche Aufgaben gleichermaßen eine übersichtliche grafische Oberfläche zur Verfügung steht.
