Flashcards: 305.3 - Freeipa Integracion Ad
42 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué comando prepara un servidor FreeIPA existente para establecer relaciones de confianza con Active Directory?
R: b) ipa-adtrust-install. ipa-adtrust-install configura los componentes necesarios en FreeIPA para soportar relaciones de confianza con Active Directory, incluyendo Samba y el servicio de trust. Se ejecuta una sola vez después de la instalación del servidor FreeIPA.
P: ¿Cuál es la diferencia principal entre un forest trust y un external trust?
R: b) Forest trust cubre todo el bosque AD; external trust cubre un solo dominio. Un forest trust establece confianza con todo el bosque de Active Directory (incluyendo todos sus dominios y subdominios) y es transitivo. Un external trust es más limitado y solo cubre un dominio específico sin transitividad.
P: ¿Qué comando crea una relación de confianza entre FreeIPA y Active Directory?
R: b) ipa trust-add empresa.local --type=ad --admin=Administrador --password. ipa trust-add crea la relación de confianza especificando el dominio AD, el tipo de trust (--type=ad) y las credenciales del administrador de AD para establecer el trust.
P: ¿Qué enfoque se recomienda para integrar FreeIPA con AD: trust o winsync?
R: b) Trust es el enfoque recomendado; winsync está obsoleto. Las relaciones de confianza (trust) son el enfoque recomendado porque no duplican datos, son más escalables y más fáciles de mantener. Winsync sincroniza datos de usuario entre AD e IPA, lo que genera duplicación y problemas de mantenimiento.
P: ¿Cómo se mapean los SIDs de AD a UIDs POSIX con el tipo de rango ipa-ad-trust?
R: c) Algorítmicamente a partir del SID. El tipo de rango ipa-ad-trust genera UIDs y GIDs automáticamente aplicando un algoritmo determinista al SID de Windows. Esto no requiere que los usuarios AD tengan atributos POSIX configurados. ipa-ad-trust-posix usaría los atributos POSIX de AD.
P: ¿Cuál es el proceso correcto para que un grupo de AD tenga acceso a recursos Linux gestionados por FreeIPA?
R: b) Crear grupo externo, añadir grupo AD, vincular a grupo POSIX de IPA. El proceso es: 1) Crear un grupo externo en IPA (--external), 2) Añadir el grupo AD como miembro externo, 3) Vincular el grupo externo a un grupo POSIX de IPA. Solo los grupos POSIX pueden usarse en reglas HBAC y sudo.
P: ¿Qué parámetro de ipa-adtrust-install genera SIDs para los usuarios y grupos IPA existentes?
R: b) --add-sids. --add-sids genera Security Identifiers (SIDs) para los usuarios y grupos de FreeIPA que fueron creados antes de configurar el trust. Los SIDs son necesarios para que las entidades IPA sean visibles en el contexto de Active Directory.
P: ¿Cómo se referencia un usuario de AD desde un sistema inscrito en FreeIPA con trust configurado?
R: b) usuario@dominio.ad. Con trust configurado, los usuarios de Active Directory se referencian con el formato usuario@dominio.ad (ej: juan@empresa.local). SSSD descubre automáticamente los subdominios de confianza y resuelve los usuarios AD.
P: ¿Qué requisito DNS es necesario antes de establecer un trust entre FreeIPA y AD?
R: b) Ambos dominios deben poder resolver mutuamente sus registros DNS. La resolución DNS bidireccional es un requisito previo. FreeIPA debe resolver registros del dominio AD y viceversa. Se configuran zonas de reenvío DNS en FreeIPA para resolver el dominio AD.
P: ¿Qué diferencia fundamental hay entre winsync y trust en cuanto al almacenamiento de datos de usuario?
R: b) Con winsync los datos se copian a IPA; con trust permanecen en AD. Winsync sincroniza (copia) datos de usuario de AD a FreeIPA, creando duplicación. Con trust, los datos permanecen en su sistema original: los usuarios AD se quedan en AD y los usuarios IPA se quedan en IPA. SSSD consulta el dominio correspondiente cuando necesita resolver una identidad.
P: ¿Qué parámetro de ipa-adtrust-install configura agentes de trust en las réplicas FreeIPA?
R: b) --add-agents. El parámetro --add-agents configura los agentes de trust en las réplicas FreeIPA, permitiendo que las réplicas también puedan atender solicitudes de autenticación de usuarios del dominio AD de confianza, mejorando la alta disponibilidad.
P: ¿Qué tipo de trust es transitivo y cubre todos los dominios de un bosque Active Directory?
R: b) Forest trust. Un forest trust es transitivo y establece confianza con todo el bosque de Active Directory, incluyendo todos sus dominios y subdominios. Un external trust, en cambio, solo cubre un dominio específico y no es transitivo.
P: ¿Qué comando de FreeIPA configura una zona de reenvío DNS para resolver el dominio de Active Directory?
R: b) ipa dnsforwardzone-add empresa.local --forwarder=192.168.1.1 --forward-policy=only. ipa dnsforwardzone-add crea una zona de reenvío DNS en FreeIPA que redirige las consultas del dominio AD al servidor DNS de Active Directory. --forward-policy=only indica que solo se use el forwarder especificado para esa zona.
P: ¿Qué tipo de rango de IDs utiliza los atributos POSIX (uidNumber/gidNumber) definidos directamente en Active Directory?
R: b) ipa-ad-trust-posix. El tipo de rango ipa-ad-trust-posix usa los atributos POSIX (uidNumber, gidNumber) que ya están configurados en los objetos de usuario en Active Directory. Requiere que los administradores de AD hayan extendido el schema con Unix attributes. El tipo ipa-ad-trust genera UIDs algorítmicamente.
P: ¿Qué método usa SSSD para descubrir los dominios de Active Directory de confianza?
R: b) Descubrimiento automático de subdominios mediante el proveedor IPA. SSSD utiliza el subdomains_provider = ipa para descubrir automáticamente los dominios AD de confianza. No es necesario configurar explícitamente los subdominios en sssd.conf; SSSD los detecta consultando la información de trust almacenada en FreeIPA.
P: ¿Qué comando permite verificar la comunicación Kerberos cross-realm obteniendo un ticket de servicio para el trust?
R: b) kvno krbtgt/EMPRESA.LOCAL@EMPRESA.IPA. kvno obtiene un ticket de servicio para el principal especificado, lo que permite verificar que la comunicación Kerberos cross-realm funciona correctamente. krbtgt/EMPRESA.LOCAL@EMPRESA.IPA es el principal de trust entre ambos realms.
P: ¿Por qué los grupos externos de FreeIPA no pueden usarse directamente en reglas HBAC o sudo?
R: b) Porque los grupos externos no tienen GID POSIX necesario para las reglas del sistema. Los grupos externos solo contienen SIDs de Active Directory y no tienen atributos POSIX. Las reglas HBAC y sudo requieren grupos POSIX con GID numérico. Por eso se sigue el patrón: grupo externo (SIDs AD) -> grupo POSIX IPA -> reglas HBAC/sudo.
P: ¿Qué alternativa existe a usar credenciales de administrador de AD al crear un trust con ipa trust-add?
R: b) Usar un secreto compartido con --trust-secret. La opción --trust-secret permite establecer el trust mediante un secreto compartido previamente configurado en ambos lados (AD y FreeIPA), en lugar de proporcionar credenciales de administrador de Active Directory con --admin.
P: ¿Qué comando lista todas las relaciones de confianza configuradas en FreeIPA?
R: b) ipa trust-find. ipa trust-find lista todas las relaciones de confianza (trusts) configuradas en el servidor FreeIPA. Para ver los detalles completos de un trust específico, se usa ipa trust-show empresa.local --all.
P: ¿Qué paquete adicional se debe instalar en el servidor FreeIPA para soportar relaciones de confianza con AD?
R: b) freeipa-server-trust-ad. El paquete freeipa-server-trust-ad instala los componentes necesarios (incluyendo Samba y las librerías de trust) para que FreeIPA pueda establecer relaciones de confianza con dominios Active Directory. Se instala con dnf install freeipa-server-trust-ad.
P: Escribe el comando para crear una relación de confianza entre FreeIPA y el dominio AD empresa.local usando credenciales del administrador de AD.
R: ipa trust-add empresa.local —type=ad —admin=Administrador —password. ipa trust-add crea la relación de confianza. --type=ad especifica que es un trust con Active Directory, --admin indica la cuenta de administrador del dominio AD y --password solicita la contraseña de forma interactiva.
P: Escribe el comando para preparar un servidor FreeIPA existente para relaciones de confianza con AD, con nombre NetBIOS IPAEMPRESA y generando SIDs para entidades existentes.
R: ipa-adtrust-install —netbios-name=IPAEMPRESA —add-sids. ipa-adtrust-install configura los componentes de trust en FreeIPA. --netbios-name define el nombre NetBIOS del dominio IPA y --add-sids genera Security Identifiers para los usuarios y grupos que fueron creados antes de habilitar el trust.
P: Escribe el comando para verificar que un usuario de Active Directory se resuelve correctamente desde un sistema inscrito en FreeIPA.
R: id usuario@empresa.local. El comando id muestra la información de identidad (UID, GID y grupos) de un usuario. Con trust configurado, id usuario@empresa.local consulta a SSSD que resuelve la identidad del usuario AD a través de FreeIPA. También se puede usar getent passwd usuario@empresa.local.
P: Escribe el comando para crear un grupo externo en FreeIPA llamado ad-admins que pueda contener miembros de Active Directory.
R: ipa group-add ad-admins —external. La opción --external crea un grupo que puede contener SIDs de Active Directory como miembros. Luego se añade el grupo AD con ipa group-add-member ad-admins --external "DOMINIO\Grupo" y se vincula a un grupo POSIX para usarlo en reglas HBAC/sudo.
P: Escribe el comando para ver los rangos de IDs configurados en FreeIPA para el mapeo de SIDs de AD.
R: ipa idrange-find. ipa idrange-find muestra todos los rangos de IDs configurados, incluyendo los rangos locales de FreeIPA y los rangos de trust con AD. Estos rangos definen cómo se mapean los SIDs de Active Directory a UIDs/GIDs POSIX en el sistema Linux.
P: Tip de examen: Un forest trust incluye todos los dominios del bosque AD. Un external trust es m…
R: Un forest trust incluye todos los dominios del bosque AD. Un external trust es más limitado y solo cubre un dominio específico. Para la mayoría de escenarios, se recomienda forest trust.
P: Tip de examen: ipa-adtrust-install prepara el servidor FreeIPA para establecer relaciones de …
R: ipa-adtrust-install prepara el servidor FreeIPA para establecer relaciones de confianza con AD. Debe ejecutarse antes de crear el trust. --add-sids es importante para que los usuarios IPA sean visibles en el contexto de AD.
P: Tip de examen: ipa trust-add crea la relación de confianza. Se puede usar credenciales de adm…
R: ipa trust-add crea la relación de confianza. Se puede usar credenciales de administrador AD (--admin) o un secreto compartido (--trust-secret) previamente configurado en ambos lados.
P: Tip de examen: ipa-ad-trust genera UIDs/GIDs automáticamente a partir del SID de AD. `ipa-ad-…
R: ipa-ad-trust genera UIDs/GIDs automáticamente a partir del SID de AD. ipa-ad-trust-posix requiere que los usuarios AD tengan atributos uidNumber/gidNumber configurados.
P: Tip de examen: Winsync es un método legacy que sincroniza datos de AD a IPA. El enfoque recomen…
R: Winsync es un método legacy que sincroniza datos de AD a IPA. El enfoque recomendado es usar relaciones de confianza (trust) que son más escalables y no duplican datos.
P: Tip de examen: Con trust configurado, SSSD descubre automáticamente los subdominios (dominios A…
R: Con trust configurado, SSSD descubre automáticamente los subdominios (dominios AD de confianza). Los usuarios AD se referencian como usuario@dominio.ad.
P: Tip de examen: El mapeo de grupos AD requiere tres pasos: crear grupo externo, añadir el grupo …
R: El mapeo de grupos AD requiere tres pasos: crear grupo externo, añadir el grupo AD como miembro externo, y vincular el grupo externo a un grupo POSIX de IPA. Los grupos externos no pueden usarse directamente en reglas HBAC o sudo.
P: Que hace el comando --netbios-name?
R: Nombre NetBIOS del dominio IPA
P: Que hace el comando --add-sids?
R: Generar SIDs para usuarios y grupos IPA existentes
P: Que hace el comando --add-agents?
R: Configurar agentes de trust en réplicas
P: Que hace el comando --type=ad?
R: Tipo de trust (Active Directory)
P: Que hace el comando --password?
R: Solicitar contraseña interactivamente
P: Que es/son Introducción?
R: La integración de FreeIPA con Active Directory permite que usuarios y recursos de ambos sistemas coexistan en un entorno mixto. Existen dos enfoques principales: relaciones de confianza (trust) y sincr
P: Que es/son ID Ranges?
R: Los rangos de IDs mapean los SIDs de AD a UIDs/GIDs POSIX:
P: Que es/son SSSD para usuarios de trust?
R: SSSD en los clientes FreeIPA resuelve automáticamente los usuarios del dominio AD de confianza:
P: Que es/son Mapeo de grupos entre FreeIPA y AD?
R: Para asignar permisos a grupos AD en FreeIPA:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: