Nos complace anunciar Synex Server 13 R4, una actualización que expande las capacidades de ServerHub hacia gestión de identidad y autenticación centralizada. El componente principal de esta versión es el módulo FreeIPA, la primera incorporación a la nueva categoría “Identity & Access Management” que complementa el ecosistema existente de módulos empresariales.
FreeIPA: autenticación centralizada y directorio empresarial
FreeIPA es una solución integrada de gestión de identidad desarrollada por Red Hat que combina LDAP, Kerberos, DNS y servicios de certificación en una plataforma unificada. El módulo ServerHub proporciona despliegue automatizado de FreeIPA Server mediante contenedor Docker, eliminando la complejidad de instalación y configuración manual que tradicionalmente requiere este tipo de infraestructura.
Qué proporciona FreeIPA
Autenticación centralizada: Single Sign-On (SSO) mediante Kerberos para toda la infraestructura. Los usuarios se autentican una vez y obtienen acceso a todos los servicios configurados sin volver a ingresar credenciales.
Directorio LDAP: Base de datos centralizada de usuarios, grupos, hosts y servicios. Toda la información de identidad reside en un único punto administrable mediante interfaz web o línea de comandos.
DNS integrado: Servidor DNS autoritativo con soporte completo para registros SRV requeridos por Kerberos y LDAP. La resolución de nombres es parte integral del sistema de autenticación, no un componente externo.
Autoridad certificadora: PKI interna que emite y gestiona certificados SSL/TLS para servicios y usuarios. Los certificados están integrados con las identidades LDAP y pueden utilizarse para autenticación basada en certificados.
Control de acceso basado en hosts (HBAC): Políticas granulares que definen qué usuarios pueden acceder a qué hosts, desde qué ubicaciones, y mediante qué servicios. El control de acceso es parte del directorio, no configuraciones locales dispersas.
Implementación en ServerHub
El módulo implementa FreeIPA Server utilizando la imagen oficial freeipa/freeipa-server:almalinux-10 mediante Docker Compose. La arquitectura del contenedor requiere configuraciones específicas que el módulo gestiona automáticamente: cgroup mode host para control de systemd, montaje de /sys/fs/cgroup, tmpfs para /run y /tmp, y mapeo de todos los puertos requeridos por los servicios integrados.
La instalación detecta automáticamente la dirección IP del servidor y la puerta de enlace de la red, configurando FreeIPA con estos parámetros sin intervención del usuario. El dominio inicial utiliza .test (reservado por IANA para entornos de prueba según RFC 6761) evitando conflictos con mDNS/Avahi que afectan a .local. Los administradores pueden reconfigurar el dominio posteriormente desde la consola web de FreeIPA cuando migran a producción.
Credenciales y seguridad
El módulo genera una contraseña aleatoria de 24 caracteres para la cuenta administrativa de FreeIPA durante la instalación. Las credenciales se almacenan en /root/.freeipa_credentials con permisos 600, garantizando que solo root pueda acceder a esta información crítica. El archivo contiene:
- Usuario administrativo (admin)
- Contraseña generada
- Realm Kerberos
- Dominio base
- URL de acceso a la interfaz web
Esta aproximación balancea seguridad (contraseña compleja aleatoria) con accesibilidad (credenciales documentadas en ubicación conocida para el administrador del sistema).
Proceso de instalación y tiempo de arranque
El despliegue inicial de FreeIPA requiere varios minutos. El contenedor ejecuta ipa-server-install -U con los parámetros detectados automáticamente, proceso que incluye:
- Inicialización de directorios LDAP (389 Directory Server)
- Configuración de KDC Kerberos y servicios asociados
- Setup del servidor DNS con forwarders automáticos
- Generación de certificados PKI
- Configuración de Apache para la interfaz web
- Registro de servicios y creación de principals Kerberos
El módulo monitorea este proceso con timeout de 900 segundos (15 minutos). Durante este período, el contenedor está activo pero los servicios no responden hasta que la configuración inicial finaliza. Los administradores pueden verificar el progreso mediante docker logs -f freeipa.
Integración con escritorios Linux
Una de las capacidades fundamentales validadas durante el desarrollo es el enrollment de estaciones de trabajo Linux al dominio FreeIPA. Los equipos con Synex Desktop (o cualquier distribución Linux compatible) pueden unirse al dominio mediante ipa-client-install, obtener configuración automática de Kerberos y LDAP, y permitir autenticación de usuarios del directorio.
Los usuarios creados en FreeIPA pueden autenticarse en cualquier estación unida al dominio, obtener su directorio home automáticamente, y acceder a recursos de red utilizando sus credenciales centralizadas. Esta funcionalidad posiciona a Synex (tanto Desktop como Server) como plataforma integrada para entornos empresariales que requieren gestión centralizada de identidades.
Categoría Identity & Access Management
FreeIPA inaugura la categoría “Identity & Access Management” en ServerHub. Esta categoría agrupa servicios de directorio, autenticación y control de acceso centralizado, diferenciándolos de otras categorías como collaboration, monitoring o business applications.
El diseño de la categoría anticipa incorporaciones futuras de soluciones complementarias como Keycloak (federación de identidades y OAuth/OIDC), OpenLDAP standalone (directorio LDAP sin componentes Kerberos), o servicios RADIUS para autenticación de red. La gestión de identidad es un pilar fundamental de infraestructura empresarial, y merece su propia categoría en el ecosistema ServerHub.
synex-control: corrección en módulo de firewall
synex-control se actualiza a la versión 1.2.1 con una corrección de comportamiento en el módulo de gestión de firewall.
El módulo de firewall modificó su comportamiento al habilitar el firewall por primera vez: la versión anterior abría automáticamente los puertos detectados en servicios activos cuando el usuario habilitaba el firewall. La versión actual elimina esta apertura automática, requiriendo que el administrador abra manualmente los puertos necesarios.
La detección de puertos activos permanece disponible como referencia para el administrador, pero no resulta en reglas de firewall aplicadas automáticamente. Este cambio proporciona control explícito sobre qué puertos se exponen, evitando apertura inadvertida de servicios que el administrador podría no querer accesibles desde la red.
Actualizaciones del sistema
Esta versión incluye todas las actualizaciones acumulativas de paquetes disponibles en los repositorios de Debian Trixie hasta la fecha de construcción. Los parches de seguridad críticos para entornos de servidor están incorporados, junto con el kernel optimizado para la arquitectura amd64.
synex-installer permanece en su versión actual con soporte completo para ZFS, BTRFS, ext4 y XFS.
Disponibilidad
Synex Server 13 R4 está disponible para descarga inmediata. Como siempre, recomendamos verificar las sumas de comprobación de las imágenes descargadas antes de crear el medio de instalación.
Los usuarios de Synex Server 13 R3 pueden actualizar mediante el gestor de paquetes estándar. El módulo FreeIPA está disponible para descarga a través del paquete synex-serverhub-modules-freeipa, y synex-control se actualiza automáticamente a la versión 1.2.1.
La incorporación de FreeIPA representa un salto cualitativo en las capacidades de Synex Server. La gestión de identidad centralizada no es una característica auxiliar: es infraestructura fundamental que habilita escalamiento real de entornos empresariales. Un servidor que proporciona autenticación Kerberos, directorio LDAP, DNS integrado y PKI en despliegue automatizado posiciona a Synex como alternativa seria para organizaciones que requieren control granular de acceso y auditoría centralizada.
Descarga Synex Server 13 R4 desde aquí.