Källa: ChatGPT |

Installation och setup

Datum: 2026-03-26
Ansvarig: Lars Lindmark
Syfte: Installation och konfiguration av FreeIPA Master Server i lokalt nätverk för identitetshantering och Kerberos-infrastruktur.

1. Systemöversikt

  • Hypervisor: Proxmox 9
  • VM OS: Rocky Linux 10
  • Hostname: ipa.home.jidoka.se
  • IP-adress: 192.168.1.16 (statisk, reserverad via DHCP)
  • Domain: home.jidoka.se
  • Realm: HOME.JIDOKA.SE
  • DNS: AdGuard Home används som primär DNS-server, FreeIPA hanterar inte DNS.

2. Installation av VM

  1. Skapa en ny VM i Proxmox med följande parametrar:
    • CPU: Anpassad till host
    • RAM: 4–8 GB
    • Disk: ≥40 GB
    • Network: Bridged adapter (ens18)
    • Machine type: Q35 / default för Rocky 10
  2. Installera Rocky Linux 10 Minimal ISO.
  3. Konfigurera VM med grafisk konsol för installation (Proxmox webkonsol).
  4. Använd SSH från remote dator för att kunna Copy/paste (VM har inte stöd Out Of Box)

3. Nätverkskonfiguration

  • Statiskt IP reserverat via DHCP: 192.168.1.16
  • FQDN: ipa.home.jidoka.se
  • DNS-forwarding via AdGuard Home
  • Kontroll av DNS:
nslookup ipa.home.jidoka.se

4. FreeIPA Installation

  1. Uppdatera systemet:
sudo dnf update -y
  1. Installera FreeIPA serverpaket:
sudo dnf install ipa-server ipa-server-dns -y
  1. Starta installation:
sudo ipa-server-install
  1. Interaktiv konfiguration:
ParameterVärde / val
Hostnameipa.home.jidoka.se
Domainhome.jidoka.se
RealmHOME.JIDOKA.SE
Admin password(valdes under installation)
NetBIOS domainHOME (standard)
Konfigurera Dogtag CAYes (standard, Smallstep används senare)
DNS-hanteringHoppar över (AdGuard används)
  • Obs: Prompt “Continue to configure the system…” → svar yes.
  • Dogtag CA används initialt, men planeras ersättas av Smallstep CA.

5. Brandväggskonfiguration

FreeIPA kräver öppna portar för LDAP, Kerberos, Web UI och replikering.

sudo firewall-cmd --add-service=freeipa-ldap --permanent
sudo firewall-cmd --add-service=freeipa-ldaps --permanent
sudo firewall-cmd --add-service=freeipa-replication --permanent
sudo firewall-cmd --add-service=freeipa-trust --permanent
sudo firewall-cmd --add-service=freeipa-4 --permanent
sudo firewall-cmd --reload
  • Kontrollera:
firewall-cmd --list-all

6. Post-installation

  1. Backup av CA-certifikat:
cp /root/cacert.p12 /secure/location/ [Arkivet]
  1. Kontrollera att FreeIPA fungerar:
kinit admin
klist
ipa user-find
  • Kerberos-ticket skapad och testlogin via Web UI bekräftat.
  1. Addera nödvändiga DNS-poster i AdGuard:
  • A-record: ipa.home.jidoka.se → 192.168.1.16
  • SRV-poster kan läggas senare om full Windows-integration krävs.

7. Verifiering

  • Kerberos: kinit adminklist visar ticket
  • LDAP / IPA CLI: ipa user-find listar användare
  • Web UI: https://ipa.home.jidoka.se → login fungerar

8. Nästa steg

  1. Integrera Smallstep CA för TLS-certifikat
  2. Koppla FreeIPA till OIDC / Keycloak för federerad identitet
  3. Konfigurera klienter (Linux, NAS, Home Assistant) via LDAP / Kerberos
  4. Dokumentera eventuella DNS SRV-poster om Windows-klienter används

9. Anteckningar / Anmärkningar

  • DNS hanteras av AdGuard, SRV-poster måste läggas manuellt för full funktion
  • Brandvägg måste hålla öppet FreeIPA-relaterade portar
  • FreeIPA initialt med Dogtag CA, planeras ersättas av Smallstep CA