Подготовка к установке сервера
Предупреждение |
---|
ВАЖНО! Сервис FreeIPA крайне чувствителен к правильным настройкам параметров операционной системы. Даже при запуске сервиса в тестовом режиме следует придерживаться приведённых ниже правил. |
Доменное имя
- Доменное имя не должно быть именем первого уровня.
Это значит, что нежелательно использовать имена доменов, состоящие из одного слова, например domain, testdomain, mydomian.
Следует использовать имена уровней два и более, то есть имена вида:
Информация |
---|
domain.net |
В случаях, если при запуске службы FreeIPA используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
запуск службы следует производить в режиме «для изолированной сети»
(опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
Далее в примерах подразумевается запуск именно сервиса в режиме «для изолированной сети».
Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig, например:Command nslookup mydomain.net или
Command dig mydomain.net - В имени домена нельзя использовать кириллицу;
- Выбранное доменное имя не должно обслуживаться другим контроллером домена.
Это значит, что при первичной настройке службы FreeIPA будет проверено,
существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена. - Пароль администратора домена должен состоять не менее, чем из восьми символов.
Остальные настройки для быстрого запуска инструменты Astra Linux выполняют самостоятельно.
Сервер
Для нормальной работы сервиса FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер;
- При использовании виртуального компьютера выделить этому компьютеру не менее 2ГБ ОЗУ и 3-х процессоров;
- Назначить этому компьютеру фиксированный IP-адрес, который, впоследствии, не должен изменяться.
Предупреждение |
---|
В /etc/hostname должно содержаться FQDN ( astraipa.astradomain.ad ). Файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Так как запрос к этому файлу имеет приоритет перед обращением к DNS. Чтобы не было путаницы, в нем рекомендуется только запись "самого себя", <ip адрес> + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера. |
Для добавления имени хоста можно выполнить команду:
Command |
---|
hostnamectl set-hostname astraipa.astradomain.ad |
Предупреждение |
---|
Разрешить загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6) |
- Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.
Установка пакетов
Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН Орёл.
Установить необходимые для установки сервера пакеты можно из графического менеджера пакетов, или из командной строки:
Графический инструмент
Command apt install fly-admin-freeipa-server или инструмент командной строки
Command astra-freeipa-server
В ходе установки будет выдано несколько предупреждений, просто нажать "ОК".
После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA server fly" |
Установить необходимые для установки клиента пакеты можно с помощью графического менеджера пакетов или из командной строки.
Команды для установки из командной строки:
графический инструмент
Command apt install fly-admin-freeipa-client или инструмент командной строки
Command apt install astra-freeipa-client
На предупреждения, возникающие при установке, также нажать "ОК"
После установки графический инструмент fly-admin-freeipa-client будет доступен через меню:
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA clientfly" |
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA примем следующие допущения:
мы хотим создать собственный домен второго уровня с названием:
astradomain.ad
;имя будущего контроллера сервера:
имя в краткой форме:
astraipa
имя в полной форме (FQDN):
astraipa.astradomain.ad
При этом, в тестовом примере будет использован несуществующий домен astradomain.ad
Быстрая настройка и запуск сервера
Быстрый запуск сервиса FreeIPA с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
Command |
---|
fly-admin-freeipa-server |
После запуска на экране появляется форма для ввода данных, в которой нужно указать:
«Домен» - имя домена, в используемом примере это будет astradomain.ad
«Имя компьютера» - имя компьютера определяется автоматически, в используемом примере заменим его на astraipa
«Пароль» - пароль для администратора домена. Введённый пароль понадобится в дальнейшем для входа в WEB-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода данных запуск сервиса осуществляется нажатием кнопки «Создать»
В процессе запуска в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения запуск на нижней рамке окна инструмента появится WEB-ссылка для перехода в WEB-интерфейс FreeIPA.
Теперь можно войти в WEB-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEB-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag (только для ОС ОН Орёл)
Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите кнопку "Показать расширенные опции" и отметьте пункт "Настроить центр сертификации":
Быстрый запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server
При правильно выполненных предварительных настройках запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлён простой командой:
Command |
---|
sudo astra-freeipa-server |
При этом инструмент должен сам определить все необходимые параметры.
При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:
Command |
---|
astra-freeipa-server -d astradomain.ad -n astraipa -o |
После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:
Информация |
---|
compname= astraipa Для подтверждения введите «y» и нажмите Enter. |
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена.
Введённый пароль понадобится в дальнейшем для входа в WEB-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране.
В завершение, будут выданы сообщения о перезапуске различных системных служб:
Информация |
---|
Restarting Directory Service |
Эти сообщения говорят об успешном завершении процесса.
Теперь можно войти в WEB-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEB-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag (только для ОС ОН Орёл)
Для автоматической установки FreeIPA с одновременной автоматической установкой сервиса центра сертификации DogTag используйте опцию --dogtag, например:
Command |
---|
astra-freeipa-server -d astradomain.ad -n astraipa -o --dogtag |
Первый вход в WEB-интерфейс инструмента FreeIPA
После завершения процедур запуска для входа в WEB-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения зашиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEB-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:
нажать кнопку «Дополнительно»
в открывшемся окне нажать кнопку «Добавить исключение»
в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в WEB-интерфейс используйте имя admin, и пароль, ранее введённый при запуске системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в WEB-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEB-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
- полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl:
Command |
---|
ipactl status |
Примерный вывод команды:
Раскрыть |
---|
$ sudo ipactl status |
Для проверки ролей сервера можно использовать WEB-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например: