Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и  исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition 2.12

При выполнении приведенных ниже инструкций на виртуальных машинах должно быть выделено достаточное количество ресурсов:

  • не менее 3-х процессоров;
  • не менее 2ГБ ОЗУ.

Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.

Настройка стенда с генерацией сертификатов

Стенд состоит из 5 компьютеров. Имена компьютеров должны содержать доменную составляющую, например, имя компьютера ipacd в домене test.com: ipacd.test.com.

Состав стенда:

  1. Контролер домена:
    1. Имя: ipacd.test.com.
    2. IP-адрес: 10.0.0.156.
  2. Контроллер-реплика номер 1:
    1. Имя: ipaserv1.test.com.
    2. IP-адрес: 10.0.0.157.
  3. Контроллер-реплика номер 2:
    1. Имя: ipaserv2.test.com.
    2. IP-адрес: 10.0.0.158.
  4. Сервер доменных служб (apache2, postgresql, mail, печать):
    1. Имя ipasrv.test.com.
    2. IP-адрес: 10.0.0.159.
  5. Клиентский компьютер:
    1. Имя: ipaclient.test.com.
    2. IP-адрес: 10.0.0.160.

Все IP-адреса должны быть статичными. Для всех паролей далее используется 12345678.

  1. Если на контроллерах домена не используется DogTag, то перед инициализацией контроллеров-реплик необходимо создать для них ключи и сертификаты. См.статьи:
    1. Создание сертификатов для FreeIPA с помощью XCA без использования DogTag.
    2. Astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA
  2. Ключи и сертификаты переписать на соответствующие машины.

Настройка контроллера домена:

  1. Установить пакет:

    sudo apt install astra-freeipa-server

  2. Инициализировать контроллер:

    sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c
    Где:
    -l -путь к сертификату,
    -lp - пароль к сертификату,
    -o -для локальной сети используется изолированная среда,
    -c - не править файл hosts
    При запросе, пароль пользователя admin задаем 12345678

  3. Проверить состояние служб:

    sudo ipactl status
      все статусы служб должны быть RUNNING

  4.  Получить билет Kerberos:

    kinit admin

  5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

    https://ipacd.test.com
    логин: admin
    пароль: 12345678

Настройка клиента

  1. Установить пакет:

    astra-freeipa-client

  2. Настроить в качестве сервера DNA адрес контроллера домена.

  3. Проверить, что домен доступен с клиентской машины:

    ping ipacd.test.com

  4. Выполнить ввод в домен командой

    astra-freeipa-client -d test.com
    пароль: 12345678

Проверка

  1. Получить билет на клиентской машине:

    kinit admin

  2. Проверка на клиентской машине:

    ipa host-find

  3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

  1. На контроллерах-репликах установить и инициализировать клиенты.

  2. Установить пакеты для сервера.

  3. Получить билет:

    kinit admin

  4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

    10.0.0.156 ipacd.test.com ipacd
  5. Запустить репликацию:

    ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse