FreeIPA

Введение

В данной статье приведены инструкции по установке и запуску базовой конфигурации контроллера домена на FreeIPA для обеспечения работы ПК СВ "Брест".

Требования

• Сервер соответствует минимальным требованиям.
  
• На сервере развернута ОС в соответствии с разделом Установка ОС.

Подготовка сервера FreeIPA

1. В файле /etc/hostname требуется указать имя хоста в формате FQDN, для этого:

   • с помощью текстового редактора в файле /etc/hostname заменить имеющуюся запись на строку вида:

     <dc-1-hostname>.<domain>

     CODE

   • либо выполнить команду: 

     sudo hostnamectl set-hostname <dc-1-hostname>.<domain>
     

2. С помощью текстового редактора скорректировать файл /etc/hosts — привести содержимое этого файла к следующему виду:

   127.0.0.1     localhost.localdomain       localhost
   <dc-1-ip>     <dc-1-hostname>.<domain>    <dc-1-hostname>
   #127.0.1.1 <hostname>

   CODE

3. Дополнительно создать файл /etc/resolv.conf и добавить в него следующие строки:

   search <domain>
   nameserver 8.8.8.8
   nameserver <dc-1-ip>

   CODE

   где
   nameserver 8.8.8.8 — имя внешнего рекурсера
   nameserver <dc-1-ip> — имя действующего рекурсера.

4. 

   Обязательно выполнить перезагрузку!

Установка и инициализация контроллера домена

1. Установить пакет FreeIPA командой: 

   sudo apt install astra-freeipa-server

2. Инициализировать сервер командой: 

   sudo astra-freeipa-server -d <domain> -n <dc-1-hostname> -ip <dc-1-ip> -o
   Если на сервере настроено два и более интерфейса, то в процессе инициализации будет предложено выбрать нужный, см. пример вывода команды ниже:

   compname= dc1
   domain= astra.lan
   Обнаружено несколько сетевых интерфейсов:
           # NIC   IP              Type
           1 eth0  10.10.20.135    статический
           2 eth1  10.10.30.157    динамический
   Выберите номер сетевого интерфейса:

   CODE

3. Ввести и подтвердить пароль для администратора домена <domain-admin>. Введенный пароль (не менее 8-ми символов) понадобится в дальнейшем для входа в веб-интерфейс контроллера домена и для работы с инструментами командной строки FreeIPA.

4. Для входа в веб-интерфейс управления контроллером домена используется следующий адрес: https://<dc-1-hostname>.<domain>

Проверка

Проверка запущенных служб и ролей FreeIPA осуществляется следующей командой: 

Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

Добавление узлов в DNS

FreeIPA автоматически регистрирует DNS-записи для узлов, которые будут присоединяться к домену. Однако, в инфраструктуре могут существовать серверы, присоединение к домену которых не требуется, но обращение к которым по именам было бы удобным. В этом случае необходимо зарегистрировать их в сервисе DNS вручную. Для этого:

1. Перейти по адресу https://<dc-1-hostname>.<domain> и выполнить вход под администратором домена <domain-admin>:
   
   
2. Перейти в меню Network Services — DNS — DNS Zones:
   
3. Выбрать в списке зону <domain>:
   
4. Нажать кнопку + Add:
   
   
   
5. В открывшемся окне заполнить все поля и установить отметку для чекбокса Create reverse. Далее нажать кнопку Add:
   
   
6. Будет добавлено новое сопоставление имени и IP-адреса. В приведенном примере выше серверу ceph1 будет сопоставлен адрес 192.168.1.31 в доменной зоне brest.loc.
   Теперь любой узел в сети, настроенный на разрешение имен через DNS-сервер <dc-1-ip>, сможет взаимодействовать с сервером ceph1 по доменному имени.

Важно

После выполнения инструкций вернитесь к предыдущей статье.