Справочный центр

Дерево страниц

Сравнение версий

Старая версия 32

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 33

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Секция
Столбец

Оглавление
stylenone

Столбец
Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).

Предварительная настройка контроллера домена FreeIPA

Предполагается, что контроллер настроен в соответствии со статьёй "Контроллер ЕПП FreeIPA в Astra Linux" и имеет характеристики:

...

Раскрыть
titleКраткая инструкция по установке FreeIPA в тестовых целях...

Перед установкой FreeIPA необходимо обратить внимание на технические и программные требования к компьютеру, на котором устанавливается контроллер.

  1. Добавить в файл /etc/hosts строку, содержащую IP-адрес, полное доменное и короткое имя узла:
    Блок кода
    192.168.0.105 dc1.ipa.lc dc1
    В дальнейшем не следует вручную изменять файл /etc/hosts, т.к. его содержимое будет контролировать FreeIPA.
  2. Задать полное доменное имя узла:
    Command

    sudo hostnamectl hostname dc1.ipa.lc

  3. Установить FreeIPA:
    Command

    sudo apt install fly-admin-freeipa-server astra-freeipa-server

  4. FreeIPA работает только при выключенном режиме AstraMode в web-сервере Apache2. В
    Для этого в файле /etc/apache2/apache2.conf измените значение параметра AstraMode on на задать параметру AstraMode значение off:

    Command

    sudo sed -i 's/^.*AstraMode\s*.*/AstraMode off/' /etc/apache2/apache2.conf

    Перезапустить И перезапустить веб-сервер Apache2 для применения настроек:

    Command

    sudo systemctl restart apache2

  5. Проинициализировать настройки контроллер FreeIPA с помощью инструмента командной строкикоманды:

    sudo astra-freeipa-server -o -n <имя_узла> -d <название_домена>
    Command

    sudo astra-freeipa-server -o -n dc1 -d ipa.lc

    Команда отобразит выведет исходные данные для инициализации и запросит подтвердить начать инициализацию контроллера домена.продолжение процедуры:

    Блок кода
    compname= dc1
domain= ipa.lc
Сертификаты будут сгенерированы с помощью OpenSSL
 Обнаружен только один сетевой интерфейс.
 Будет использован сетевой интерфейс "enp0s3", имеющий динамический IP-адрес 192.168.0.105.
продолжать ? (y\n)

     Команда запросить задать пароль (не менее 8-символов?) для учётной записи администратора FreeIPA admin, которая будет использоваться для входа в web-интерфейс FreeIPA и при работе с инструментом командной строки admin. После повторного ввода пароля начнётся процесс первоначальной настройки FreeIPA.

    Блок кода
    введите пароль администратора домена (login: admin):
    После повторного ввода пароля начнётся процесс первоначальной настройки FreeIPA.
    После успешной инициализации отобразится web- ссылка для открытия в webвеб-интерфейса FreeIPA.
     Блок  кода
    ...
ipa: INFO: The ipactl command was successful
Завершено.
Для продолжения работы, необходимо перезагрузить компьютер!
Обнаружен настроенный домен ipa.lc
WEB: https://dc1.ipa.lc


  6. Перезагрузить компьютер с контроллером домена.


Настройка DNS-сервера BIND
DNS-сервер BIND входит в состав контроллера домена и управляется им же.
...
  1. В каталоге /etc/bind/ создать файл с TSIG-ключом, ограничить доступ к файлу:
     Command
    sudo tsig-keygen <название_ключа> | sudo tee /etc/bind/<название_файла>
    sudo chmod 640 /etc/bind/<название_файла>
    sudo chown bind:bind /etc/bind/<название_файла>
    где
      - <название_ключа> – любая строка, соответствующая требованиям к доменному имени, т.е. состоящая из букв, цифр, дефисов и точек. 
                                                     Для наглядности рекомендуется составлять название ключа из имён узлов, на которых работают DNS-сервер и DHCP-DDNS-сервер. Например, "dc1-dhcp1";
      - <название_файла> – произвольное название файла.

    Далее предполагается, что создан ключ с названием "dc1-dhcp1", ключ сохранён в файле /etc/bind/dc1-dhcp1.key:
     Command
    sudo tsig-keygen dc1-dhcp1 | sudo tee /etc/bind/dc1-dhcp1.key
    Пример файла /etc/bind/dc1-dhcp1.key:
     Блок  кода
    key "dc1-dhcp1" {
        algorithm hmac-sha256;
        secret "cuF3/joQN1jNQeHbSJtt1eFpaRfludKEDeD/CaFjpg4=";
};
  2. Указать в настройках DNS-сервера расположение файла с TSIG-ключом.
    Для этого добавить в файл /etc/bind/ipa-ext.conf строку:
     Блок  кода
    include "/etc/bind/dc1-dhcp1.key";
    Файл  /etc/bind/ipa-ext.conf не изменяется во время обновления FreeIPA

  3. Проверить отсутствие синтаксических ошибок в конфигурационных файлах DNS-сервера:
     Command
    sudo named-checkconf
  4. Перезапустить FreeIPA для применения настроек DNS-сервера:
     Command
    sudo ipactl restart
  5. Разрешить динамические обновления требуемых доменных зон для DNS-клиентов, обладающих TSIG-ключом. 
    Для этого в веб-интерфейсе FreeIPA открыть страницу "Сетевые службы → DNS → Зоны DNS".
    Откроется страница со списком доменных зон:

    На странице выбрать зону, для которой необходимо включить динамические обновления. Перейти на вкладку "Параметры".
    Откроется страница:

    Внизу страницы в поле "Политика обновления BIND" добавить правило политики, которое разрешает принимать обновления, подписанные ключом с названием dc1-dhcp1:
     Блок  кода
    grant dc1-dhcp1 wildcard * ANY;
    Получится:

    Вверху страницы нажать на кнопку "Сохранить".
     Информация
    Веб-интерфейс FreeIPA-сервера не отображает записи типа DHCID. Для их просмотра необходимо использовать консольные команды из состава Bind, например dig:
     Command
    dig @localhost astra06954.ipa.lc. any
    Вывод команды:
     Блок  кода
    ...
;; ANSWER SECTION:
astra06954.ipa.lc.      14400   IN      A       192.168.0.203
astra06954.ipa.lc.      14400   IN      DHCID   AAABP1ZUSZviTQHluGX6B3j9OueWkRxYEyGoXqjOvWfuM5Q=
...

  6. Выполнить предыдущий пункт и для обратной доменной зоны, добавив точно такое же правило политики в поле  "Политика обновления BIND".


Настройка DHCP-сервера


Настройка DHCP-сервера:
Предполагается, что DHCP-сервер и DHCP-DDNS-сервер уже настроены в соответствии со статьёй "DHCP: служба kea".
  1. В файле /etc/kea/kea-dhcp4.conf в глобальном параметре ddns-qualifying-suffix указать название домена:
     Блок  кода
    {
"Dhcp4": {

    ...
    "ddns-qualifying-suffix": "ipa.lc",                 // Название домена 
    ...

}
}
  2. Проверить отсутствие синтаксических ошибок в конфигурационном файле DHCP-сервера:
     Command
    sudo kea-dhcp4 -t /etc/kea/kea-dhcp4.conf
  3. Перезапустить DHCP-сервер для применения настроек:
     Command
    sudo systemctl restart kea-dhcp4-server
Настройка DHCP-DDNS-сервера
Предполагается, что DHCP-сервер и DHCP-DDNS-сервер уже настроены в соответствии со статьёй "DHCP: служба kea".
...