Справочный центр

Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

 Команда запросить задать пароль (не менее 8-символов?) для учётной записи администратора FreeIPA admin, которая будет использоваться для входа в web-интерфейс FreeIPA и при работе с инструментом командной строки.

...

Блок кода
...
ipa: INFO: The ipactl command was successful
Завершено.
Для продолжения работы, необходимо перезагрузить компьютер!
Обнаружен настроенный домен ipa.lc
WEB: https://dc1.ipa.lc


Настройка DNS-сервера BIND

DNS-сервер BIND входит в состав контроллера домена и управляется им же.

Необходимо создать TSIG-ключ, который будет использоваться для подписания динамических обновлений записей зон DNS-сервера.


Для безопасности все сообщения между DNS-сервером и DHCP-DDNS-сервером подписываются общим TSIG-ключом. DNS-сервер будет игнорировать запросы на обновления, не подписанные ключом.


Для настройки DNS-сервера на работу с динамическими обновлениями:

  1. В каталоге /etc/bind/ создать файл с TSIG-ключом, ограничить доступ к файлу:
    Command

    sudo tsig-keygen <название_ключа> | sudo tee /etc/bind/<название_файла>

    sudo chmod 640 /etc/bind/<название_файла>

    sudo chown bind:bind /etc/bind/<название_файла>

    где
      - <название_ключа> – любая строка, соответствующая требованиям к доменному имени, т.е. состоящая из букв, цифр, дефисов и точек.
                                                     Для наглядности рекомендуется составлять название ключа из имён узлов, на которых работают DNS-сервер и DHCP-DDNS-сервер. Например, "dc1-dhcp1";
      - <название_файла> – произвольное название файла.

    Далее предполагается, что создан ключ с названием "dc1-dhcp1", ключ сохранён в файле /etc/bind/dc1-dhcp1.key:
    Command

    sudo tsig-keygen dc1-dhcp1 | sudo tee /etc/bind/dc1-dhcp1.key

    Пример файла /etc/bind/dc1-dhcp1.key:
    Блок кода
    key "dc1-dhcp1" {
        algorithm hmac-sha256;
        secret "cuF3/joQN1jNQeHbSJtt1eFpaRfludKEDeD/CaFjpg4=";
};
  2. Разрешить динамические обновления прямой и обратной доменных зон для DNS-клиентов, обладающих TSIG-ключом. 
    Для этого в файле /etc/bind/named.conf.local:
      - добавить параметр include, в котором указать путь к файлу с ключом;
      - в настройках зон добавить параметр allow-update, содержащий параметр key с названием ключа.

    Пример файла     /etc/bind/named.conf.local, в котором заданы зоны localnet.example.ru и 6.192.10.in-addr.arpa, поддерживающие динамические обновления:
    Блок кода
    include "/etc/bind/dhcp1-dns1.key";                    # Путь к файлу, содержащему TSIG-ключ

zone "localnet.example.ru"    {
    type master;                                       #
    file "/etc/bind/zones/db.localnet.example.ru";     #
    allow-update { key "dhcp1-dns1"; };                # Принимаются только те обновления, которые подписаны TSIG-ключом "dhcp1-dns1"
};

zone "6.192.10.in-addr.arpa" {
    type master;                                       #
    file "/etc/bind/zones/db.6.192.10";                #
    allow-update { key "dhcp1-dns1"; };                # Принимаются только те обновления, которые подписаны TSIG-ключом "dhcp1-dns1"
};
  3. Проверить отсутствие синтаксических ошибок в конфигурационных файлах DNS-сервера:
    Command

    sudo named-checkconf

  4. Перезапустить DNS-сервер для применения настроек:


Добавить в файл  /etc/bind/ipa-ext.conf, который не изменяется во время обновления FreeIPA

Блок кода