В настоящей статье используются следующие Условные обозначения

ВведениеLink to Введение

В данной статье приведены инструкции по установке и запуску базовой конфигурации контроллера домена на FreeIPA для обеспечения работы ПК СВ "Брест".

ТребованияLink to Требования

Подготовка сервера FreeIPALink to Подготовка сервера FreeIPA

  1. В файле /etc/hostname требуется указать имя хоста в формате FQDN, для этого:

    • с помощью текстового редактора в файле /etc/hostname заменить имеющуюся запись на строку вида:

      <dc-1-hostname>.<domain>
      CODE

    • либо выполнить команду: 

      sudo hostnamectl set-hostname <dc-1-hostname>.<domain>

  2. С помощью текстового редактора скорректировать файл /etc/hosts — привести содержимое этого файла к следующему виду:

    127.0.0.1     localhost.localdomain       localhost
<dc-1-ip>     <dc-1-hostname>.<domain>    <dc-1-hostname>
#127.0.1.1 <hostname>
    CODE

  3. Дополнительно создать файл /etc/resolv.conf и добавить в него следующие строки:

    search <domain>
nameserver 8.8.8.8
nameserver <dc-1-ip>
    CODE

    где
    nameserver 8.8.8.8 — имя внешнего рекурсера
    nameserver <dc-1-ip> — имя действующего рекурсера.

  4. Обязательно выполнить перезагрузку!

Установка и инициализация контроллера доменаLink to Установка и инициализация контроллера домена

  1. Установить пакет FreeIPA командой: 

    sudo apt install astra-freeipa-server

  2. Инициализировать сервер командой: 

    sudo astra-freeipa-server -d <domain> -n <dc-1-hostname> -ip <dc-1-ip> -o
    Если на сервере настроено два и более интерфейса, то в процессе инициализации будет предложено выбрать нужный, см. пример вывода команды ниже:

    compname= dc1
domain= astra.lan
Обнаружено несколько сетевых интерфейсов:
        # NIC   IP              Type
        1 eth0  10.10.20.135    статический
        2 eth1  10.10.30.157    динамический
Выберите номер сетевого интерфейса:
    CODE

  3. Ввести и подтвердить пароль для администратора домена <domain-admin>. Введенный пароль (не менее 8-ми символов) понадобится в дальнейшем для входа в веб-интерфейс контроллера домена и для работы с инструментами командной строки FreeIPA.

  4. Для входа в веб-интерфейс управления контроллером домена используется следующий адрес: https://<dc-1-hostname>.<domain>

ПроверкаLink to Проверка

Проверка запущенных служб и ролей FreeIPA осуществляется следующей командой: 

sudo ipactl status
Пример вывода после выполнения команды:

Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
CODE


Добавление узлов в DNSLink to Добавление узлов в DNS

FreeIPA автоматически регистрирует DNS-записи для узлов, которые будут присоединяться к домену. Однако, в инфраструктуре могут существовать серверы, присоединение к домену которых не требуется, но обращение к которым по именам было бы удобным. В этом случае необходимо зарегистрировать их в сервисе DNS вручную. Для этого:

  1. Перейти по адресу https://<dc-1-hostname>.<domain> и выполнить вход под администратором домена <domain-admin>:

  2. Перейти в меню Network Services — DNS — DNS Zones:
  3. Выбрать в списке зону <domain>:
  4. Нажать кнопку + Add:


  5. В открывшемся окне заполнить все поля и установить отметку для чекбокса Create reverse. Далее нажать кнопку Add:

  6. Будет добавлено новое сопоставление имени и IP-адреса. В приведенном примере выше серверу ceph1 будет сопоставлен адрес 192.168.1.31 в доменной зоне brest.loc.
    Теперь любой узел в сети, настроенный на разрешение имен через DNS-сервер <dc-1-ip>, сможет взаимодействовать с сервером ceph1 по доменному имени.



Важно

После выполнения инструкций вернитесь к предыдущей статье.