Оглавление |
---|
Отображение дочерних |
---|
Информация | ||
---|---|---|
|
|
|
Для использования службы DogTag в Astra Linux Special Edition x.7 требуется подключение расширенного репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования. |
Введение
Раскрыть |
---|
FreeIPA (Free Identity, Policy and Audit) — открытый проект централизованной системы организации единого пространства пользователей (ЕПП), т.е. системы управления идентификацией и аутентификацией пользователей, политиками доступа и аудита. В состав FreeIPA входят:
FreeIPA также использует Samba для интеграции с Microsoft Active Directory и поддержки компьютеров на базе Microsoft Windows и Apple Macintosh. |
Подготовка к
установкезапуску сервера
Предупреждение | |||
---|---|---|---|
| ВАЖНО
| ||
Сервис Службы FreeIPA крайне чувствителенчувствительны к правильным настройкам параметров операционной системы. Даже при запуске сервисаFreeIPA в тестовом режиме следует придерживаться приведённыхприведенных ниже правил. |
Доменное имя
|
Доменные имена серверов FreeIPA
Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня.
Доменное имя не должно быть именем первого уровня.Это значит, что нежелательно использовать имена
доменов, состоящие из одного слова, например domain, testdomain, mydomian.
Следует использовать имена
уровнейуровня два и более, то есть имена вида:
Информация domain.net
testdomain.test.lan
mycompany.ruи т. д.
В случаях, если при запуске службы FreeIPA когда используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
запуск службы инициализацию следует производить в режиме «для изолированной сети»
(опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
Далее в примерах подразумевается запуск инициализация именно сервиса в режиме «для изолированной сети».
Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig (входит в пакет dnsutils), например:Command nslookup mydomain.net<имя_домена> или
Command dig mydomain.netdig <имя_домена> - В имени домена нельзя использовать кириллицу;
- Выбранное доменное имя не должно обслуживаться другим контроллером домена.
Это значит, что при первичной настройке службы FreeIPA будет проверено,
существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена. - Пароль администратора домена должен состоять не менее, чем из восьми символов.
Настройка серверов для FreeIPA
Для нормальной работы сервиса служб FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер;При использовании виртуального компьютера выделить этому компьютеру , на котором должно быть установлено не менее 2ГБ ОЗУ и 3-х не менее трех процессоров;
Назначить этому компьютеру фиксированный IP-адрес, который
,впоследствии
,не должен изменяться;
В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);
Предупреждение Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. статью DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).
В качестве второго DNS можно ничего не указывать или указать внешний DNS (может использоваться для доступа в Интернет, например, для установки пакетов из Интернет-репозиториев);
После внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf:
Command cat /etc/resolv.conf
Предупреждение |
---|
В файле /etc/hostname должно содержаться FQDN ( полное доменное имя (FQDN) сервера, например astraipa.astradomain.ad ).Файл . Так как запросы к файлу /etc/hosts имеют приоритет перед обращением к DNS, файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Так как запрос к этому файлу имеет приоритет перед обращением к DNS. Чтобы не было путаницы, в нем рекомендуется Для предотвращения конфликтов с доменной службой DNS рекомендуется оставить в файле /etc/hosts только запись "самого себя", <ip <IP-адрес> + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера. |
Для добавления имени хоста можно выполнить Задать имя сервера можно выполнив команду:
Command |
---|
sudo hostnamectl set-hostname astraipa.astradomain.adhostname <имя_сервера> |
Предупреждение |
---|
Разрешить Настроить сеть, разрешив загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6) |
- Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.
Якорь | ||||
---|---|---|---|---|
|
Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН Орёл.репозитории Astra Linux.Установить необходимые для установки сервера пакеты можно из графического менеджера пакетовиспользуя Графический менеджер пакетов synaptic, или из командной строки:
Графический графический инструмент:
Command sudo apt install fly-admin-freeipa-server или инструмент командной строки:
Command sudo apt install astra-freeipa-server
При работе в Astra Linux Common Edition при установке пакетов автоматически устанавливаются пакеты центра сертификации DogTag.
При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:
- FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition x.7;
- FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
В ходе установки пакетов будет выдано несколько предупреждений, просто нажать "ОК". После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA server fly" |
Установить необходимые для установки клиента пакеты можно с помощью графического менеджера пакетов или из командной строки.
Команды для установки из командной строки:
графический инструмент
Command |
---|
apt install fly-admin-freeipa-client |
или инструмент командной строки
Command |
---|
apt install astra-freeipa-client |
На предупреждения, возникающие при установке, также нажать "ОК"
После установки графический инструментfly |
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA clientfly" |
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA примем принимаются следующие допущения:
мы хотим создать создается собственный домен второго уровня с названием:
astradomain.ad
;имя будущего контроллера сервера:
имя в краткой форме:
astraipa
имя в полной форме (FQDN):
astraipa.astradomain.ad
При этом, в тестовом примере будет использован несуществующий домен astradomain.ad
Быстрая настройка и запуск сервера
Быстрый запуск сервиса FreeIPAБыстрая инициализация сервера
Особенности быстрой инициализации
Предупреждение |
---|
В зависимости от используемой ОС по умолчанию приняты следующие параметры быстрой инициализации:
|
Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
Command |
---|
fly-admin-freeipa-server |
После запуска на экране появляется форма для ввода данных, в которой нужно указать:
«Домен» - имя домена, в . В используемом примере это будет astradomain.ad;
«Имя компьютера» - имя компьютера определяется . Определяется автоматически, в используемом примере заменим его на astraipa;
«Пароль» - пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.;
После ввода данных запуск сервиса инициализация сервера FreeIPA осуществляется нажатием кнопки кнопки «Создать».
В процессе запуска инициализации в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения запуск инициализации на нижней рамке окна инструмента появится WEBweb-ссылка для перехода в WEBweb-интерфейс FreeIPA.
Теперь можно , что позволяет войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
Информация |
---|
При инициализации контроллера домена FreeIPA с использованием центра сертификации DogTag |
на платформах, отличных от платформы x86-64 рекомендуется перед началом инициализации создать переменную окружения PKISPAWN_STARTUP_TIMEOUT_SECOND и присвоить ей значение не менее 600. Подробнее см. Присвоение значений переменным окружения для пользовательских сессий. |
Для Astra Linux Common Edition и для Astra Linux Special Edition x.7
Предупреждение |
---|
Для инициализации FreeIPA с центром сертификации DogTag предварительно должны быть установлены необходимые пакеты. См. Установка пакетов. |
Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите :
- Запустить инструмент;
- Нажать кнопку "Показать расширенные опции"
- ;
- Отметить пункт "Настроить центр сертификации":
Для Astra Linux Special Edition выпущенных до очередного обновления x.7
См. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server
При правильно выполненных предварительных настройках запуск сервиса и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлён простой осуществлена командой:
Command |
---|
sudo astra-freeipa-server |
При этом инструмент должен сам определить определит все необходимые параметры. При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:
Command |
---|
sudo astra-freeipa-server -d astradomain.ad -n astraipa -o |
После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:
Информация |
---|
compname= astraipa Для подтверждения введите «y» и нажмите Enter. |
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране. В завершение , будут выданы сообщения о перезапуске различных системных служб:
Информация |
---|
Restarting Directory Service |
Эти сообщения говорят об успешном завершении процесса.
Теперь можно войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке строке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
(только для ОС ОН Орёл)Для автоматической установки настройки FreeIPA с одновременной автоматической установкой сервиса настройкой центра сертификации DogTag используйте опцию --dogtag, например:
Command |
---|
sudo astra-freeipa-server -d astradomain.ad -n astraipa -o --dogtag |
Инициализация без использования центра сертификации DogTag
Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию --ssl, например:
Command |
---|
sudo astra-freeipa-server -o --dogtagssl |
Первый вход в
WEBweb-интерфейс
инструментаFreeIPA
После завершения процедур запуска для входа в WEBweb-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения зашиты защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEBweb-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:
нажать кнопку «Дополнительно»
в открывшемся окне нажать кнопку «Добавить исключение»
в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в WEBweb-интерфейс используйте имя admin, администратора и пароль, ранее введённый заданные при запуске инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в WEBweb-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEBweb-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
- полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:
Command |
---|
ipactl status |
Примерный вывод команды:
Раскрыть | |||
---|---|---|---|
|
| ||
Directory Service: RUNNING |
В зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:
- в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
- если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
- если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).
Для проверки ролей сервера можно использовать WEBweb-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например:
Удаление и переустановка сервера FreeIPA
Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:
Command |
---|
sudo astra-freeipa-server -U |
Для переустановки сервера FreeIPA рекомендуется использовать переустановленную ("чистую") ОС.