Download PDF
Download page FreeIPA: настройка стенда с генерацией сертификатов.
FreeIPA: настройка стенда с генерацией сертификатов
Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12
При выполнении приведенных ниже инструкций на виртуальных машинах должно быть выделено достаточное количество ресурсов:
- не менее 3-х процессоров;
- не менее 2ГБ ОЗУ.
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Настройка стенда с генерацией сертификатов
Стенд состоит из 5 компьютеров. Имена компьютеров должны содержать доменную составляющую, например, имя компьютера ipacd в домене test.com: ipacd.test.com.
Состав стенда:
- Контролер домена:
- Имя: ipacd.test.com.
- IP-адрес: 10.0.0.156.
- Контроллер-реплика номер 1:
- Имя: ipaserv1.test.com.
- IP-адрес: 10.0.0.157.
- Контроллер-реплика номер 2:
- Имя: ipaserv2.test.com.
- IP-адрес: 10.0.0.158.
- Сервер доменных служб (apache2, postgresql, mail, печать):
- Имя ipasrv.test.com.
- IP-адрес: 10.0.0.159.
- Клиентский компьютер:
- Имя: ipaclient.test.com.
- IP-адрес: 10.0.0.160.
Все IP-адреса должны быть статичными. Для всех паролей далее используется 12345678.
- Если на контроллерах домена не используется DogTag, то перед инициализацией контроллеров-реплик необходимо создать для них ключи и сертификаты. См.статьи:
- Ключи и сертификаты переписать на соответствующие машины.
Настройка контроллера домена:
Установить пакет:
sudo apt install astra-freeipa-serverИнициализировать контроллер:
sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -cГде:
-l -путь к сертификату,
-lp - пароль к сертификату,
-o -для локальной сети используется изолированная среда,
-c - не править файл hosts
При запросе, пароль пользователя admin задаем 12345678Проверить состояние служб:
sudo ipactl statusвсе статусы служб должны быть RUNNINGПолучить билет Kerberos:
kinit adminВ браузере войти в web-интерфейс с адресом, выданным при установке сервера:
https://ipacd.test.com
логин: admin
пароль: 12345678
Настройка клиента
Установить пакет:
astra-freeipa-clientНастроить в качестве сервера DNA адрес контроллера домена.
Проверить, что домен доступен с клиентской машины:
ping ipacd.test.comВыполнить ввод в домен командой
astra-freeipa-client -d test.com
пароль: 12345678
Проверка
Получить билет на клиентской машине:
kinit adminПроверка на клиентской машине:
ipa host-findНа КД в веб-форме, в закладке Узлы должна появиться клиентская машина
Настройка репликации
- На контроллерах-репликах установить и инициализировать клиенты.
- Установить пакеты для сервера.
Получить билет:
kinit adminРеплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:
10.0.0.156 ipacd.test.com ipacdЗапустить репликацию:
ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse