Page tree
Skip to end of metadata
Go to start of metadata

Оглавление

Введение

В данной инструкции мы установим и запустим базовую конфигурацию контроллера домена на FreeIPA для обеспечения работы ПК СВ Брест.

Требования

Подготовка сервера FreeIPA

В файле /etc/hostname требуется указать имя хоста в формате FQDN:

/etc/hostname
<dc-1-hostname>.<domain>

Файл /etc/hosts корректируем следующим образом:

/etc/hosts
127.0.0.1     localhost.localdomain       localhost
<dc-1-ip>     <dc-1-hostname>.<domain>    <dc-1-hostname>
#127.0.1.1 <hostname>

Дополнительно нужно создать файл /etc/resolv.conf:

/etc/resolv.conf
search <domain>
nameserver <dc-1-ip>

Необходимо перезагрузить сервер

Установка и инициализация контроллера домена

Установка FreeIPA выполянется командой:

sudo apt install astra-freeipa-server
Далее инициализируем сервер:
sudo astra-freeipa-server -d <domain> -n <dc-1-hostname> -ip <dc-1-ip> -o
После подтверждения нужно будет ввести и подтвердить пароль для администратора домена <domain-admin>. Введённый пароль (не менее 8-ми символов) понадобится в дальнейшем для входа в веб-интерфейс контроллера домена, и для работы с инструментами командной строки FreeIPA.

Для входа в веб-интерфейс управления контроллера домена используется следующий адрес: 

https://<dc-1-hostname>.<domain>

Добавление узлов в DNS

FreeIPA автоматически регистрирует DNS-записи для узлов, которые будут присоединяться к домену. Однако, в инфраструктуре могут существовать серверы, присоединение к домену которых не требуется, но обращение к которым по именам было бы удобным. В этом случае необходимо зарегистрировать их вручную в сервисе DNS. Для этого:

  1. Перейти по адресу https://<dc-1-hostname>.<domain> и выполнить вход администратором домена <domain-admin>:


  2. Перейти в Network Services - DNS - DNS Zones:

  3. Кликнуть на зоне <domain>., затем нажать + Add:


  4. Заполнить, подобно скриншоту:


  5. Нажать Add. Будет добавлено новое сопоставление имени и IP-адреса. В приведенном примере серверу ceph1 будет сопоставлен адрес 192.168.1.31.

Теперь любой узел в сети, настроенный на разрешение имен через DNS-сервер <dc-1-ip>, сможет взаимодействовать с сервером ceph1 по доменному имени.

Оптимизация конфигурции службы каталогов

Дальнейшие действия актуальны только для версии FreeIPA 4.6.4 (по умолчанию используется в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)).

Некорректное поведение модуля nsslapd-enable-nunc-stans: в модуле есть ошибка, которая приводит к утечкам файловых дескрипторов. Nunc-stans  -  модуль для обработки соединений с использованием "epoll" вместо традиционного метода. Отключение nunc-stans заставит сервер использовать традиционный модуль.

Проверить состояние модуля:

ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-enable-nunc-stans
Пример вывода команды (модуль задействован):
dn: cn=config
nsslapd-enable-nunc-stans: on
Для отключения модуля ввести команды построчно:
ldapmodify -D "cn=directory manager" -W << EOF
dn: cn=config
changetype: modify
replace: nsslapd-enable-nunc-stans
nsslapd-enable-nunc-stans: off
EOF
Повторная проверка состояния модуля:
ldapsearch -xLLL -D "cn=directory manager" -W -b cn=config -s base nsslapd-enable-nunc-stans
Пример вывода команды (модуль отключен):
dn: cn=config
nsslapd-enable-nunc-stans: off
После внесения изменений, необходимо перезапустить сервисы FreeIPA, выполнив команду: 
ipactl restart

Проверка

Проверка запущенных служб и ролей FreeIPA:

sudo ipactl status

Важно

После выполнения инструкций данного раздела вернитесь на предыдущую статью



  • No labels