Справочный центр

Дерево страниц

Сравнение версий

Старая версия 28

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 29

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Секция
Столбец

Оглавление
stylenone

Столбец
Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).

Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам домена) с помощью службы DHCP (см. статьи isc-dhcp-server и kea), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).

Контроллер домена FreeIPA

...

Предварительная настройка контроллера FreeIPA

Предполагается, что контроллер настроен в соответствии со статьёй "Контроллер ЕПП FreeIPA в Astra Linux" и имеет характеристики:

  • IP-адрес узла – 192.168.0.105;
  • название домена – ipa.lc;
  • имя узла:
    - краткое – dc1;
    - полное доменное – dc1.ipa.lc.


...

Раскрыть
titleКраткая инструкция по установке FreeIPA в тестовых целях...

Перед установкой FreeIPA необходимо обратить внимание на технические и программные требования

...

к компьютеру, на котором устанавливается контроллер.

  1. Добавить в файл
  1. /etc/hostsстроку,

...

  1. содержащую IP-адрес, полное доменное и короткое имя узла:
    Блок кода
    192.168.0.105 dc1.ipa.lc dc1


При установке FreeIPA внесёт изменения и изменять вручную не надо.

...

Блок кода
...
ipa: INFO: The ipactl command was successful
Завершено.
Для продолжения работы, необходимо перезагрузить компьютер!
Обнаружен настроенный домен ipa.lc
WEB: https://dc1.ipa.lc


Настройка DNS-сервера BIND

DNS-сервер BIND входит в состав контроллера домена и управляется им же.

...

  1. В каталоге /etc/bind/ создать файл с TSIG-ключом, ограничить доступ к файлу:
    Command

    sudo tsig-keygen <название_ключа> | sudo tee /etc/bind/<название_файла>

    sudo chmod 640 /etc/bind/<название_файла>

    sudo chown bind:bind /etc/bind/<название_файла>

    где
      - <название_ключа> – любая строка, соответствующая требованиям к доменному имени, т.е. состоящая из букв, цифр, дефисов и точек.
                                                     Для наглядности рекомендуется составлять название ключа из имён узлов, на которых работают DNS-сервер и DHCP-DDNS-сервер. Например, "dc1-dhcp1";
      - <название_файла> – произвольное название файла.

    Далее предполагается, что создан ключ с названием "dc1-dhcp1", ключ сохранён в файле /etc/bind/dc1-dhcp1.key:
    Command

    sudo tsig-keygen dc1-dhcp1 | sudo tee /etc/bind/dc1-dhcp1.key

    Пример файла /etc/bind/dc1-dhcp1.key:
    Блок кода
    key "dc1-dhcp1" {
        algorithm hmac-sha256;
        secret "cuF3/joQN1jNQeHbSJtt1eFpaRfludKEDeD/CaFjpg4=";
};
  2. Указать в настройках DNS-сервера расположение файла с TSIG-ключом.
    Для этого добавить в файл /etc/bind/ipa-ext.conf строку:
    Блок кода
    include "/etc/bind/dc1-dhcp1.key";
    Файл  /etc/bind/ipa-ext.conf не изменяется во время обновления FreeIPA

  3. Проверить отсутствие синтаксических ошибок в конфигурационных файлах DNS-сервера:
    Command

    sudo named-checkconf

  4. Перезапустить FreeIPA для применения настроек DNS-сервера:
    Command

    sudo ipactl restart

  5. Разрешить динамические обновления требуемых доменных зон для DNS-клиентов, обладающих TSIG-ключом. 
    Для этого в веб-интерфейсе FreeIPA открыть страницу "Сетевые службы → DNS → Зоны DNS".
    Откроется страница со списком доменных зон:

    На странице выбрать зону, для которой необходимо включить динамические обновления. Перейти на вкладку "Параметры".
    Откроется страница:

    Внизу страницы в поле "Политика обновления BIND" добавить правило политики, которое разрешает принимать обновления, подписанные ключом с названием dc1-dhcp1:
    Блок кода
    grant dc1-dhcp1 wildcard * ANY;
    Получится:

    Вверху страницы нажать на кнопку "Сохранить".
    Информация

    Веб-интерфейс FreeIPA-сервера не отображает записи типа DHCID. Для их просмотра необходимо использовать консольные команды из состава Bind, например dig:

    Command

    dig @localhost astra06954.ipa.lc. any

    Вывод команды:

    Блок кода
    ...
;; ANSWER SECTION:
astra06954.ipa.lc.      14400   IN      A       192.168.0.203
astra06954.ipa.lc.      14400   IN      DHCID   AAABP1ZUSZviTQHluGX6B3j9OueWkRxYEyGoXqjOvWfuM5Q=
...

  6. Выполнить предыдущий пункт и для обратной доменной зоны, добавив точно такое же правило политики в поле  "Политика обновления BIND".


Настройка DHCP-сервера



Настройка DHCP-сервера:

Предполагается, что DHCP-сервер и DHCP-DDNS-сервер уже настроены в соответствии со статьёй "DHCP: служба kea".

  1. В файле /etc/kea/kea-dhcp4.conf в глобальном параметре ddns-qualifying-suffix указать название домена:
    Блок кода
    {
"Dhcp4": {

    ...
    "ddns-qualifying-suffix": "ipa.lc",                 // Название домена 
    ...

}
}
  2. Проверить отсутствие синтаксических ошибок в конфигурационном файле DHCP-сервера:
    Command

    sudo kea-dhcp4 -t /etc/kea/kea-dhcp4.conf

  3. Перезапустить DHCP-сервер для применения настроек:
    Command

    sudo systemctl restart kea-dhcp4-server

Настройка DHCP-DDNS-сервера

Предполагается, что DHCP-сервер и DHCP-DDNS-сервер уже настроены в соответствии со статьёй "DHCP: служба kea".

...