Оглавление |
---|
Введение
В больших сетях очевидна необходимость использования сервера DHCP для автоматического назначения IP-адресов компьютерам.При этом входящий в диструбутивв , при этом возникает необходимость поддержания соответствия имён компьютеров и назначенных им адресов. При этом:
- устанавливаемая на клиентских машинах служба SSSD умеет сообщать контроллеру домена о своём IP-адресе;
- входящий в диструбутив ОС ОН Орёл и ОС СН Смоленск сервер DHCP isc-dhcp-server имеет возможность автоматически сообщать доменному серверу DNS (DNS-сервер BIND9) о
...
- назначаемых клиентам адресах.
Таким образом обновление адресов можно выполнять либо по инициативе клиентских машин, либо централизованно с помощью DHCP-сервера.
Настройка обновления с клиентских машин (SSSD)
Для включения обновления в файл конфигурации службы SSSD /etc/sssd/sssd.conf в секцию с параметрами домена FreeIPA следует добавить опции:
Блок кода |
---|
[domain/...]
.....
# Включить обновление прямых записей (A/AAAA записей)
dyndns_update = true
# Включить обновление обратных записей (PRTзаписей)
dyndns_update_ptr = true
# Интервал обновления в секундах. По умолчанию - 0, и обновление выполняется только один раз при запуске службы SSSD.
# Если интервал менее 60 секунд, то обновление выполняется раз в 60 секунд.
# Если адрес после предыдущего обновления не изменялся - обновление не выполняется.
dyndns_refresh_interval = 60 |
Авторизация по ключам Kerberos для такого обновления настраивается автоматически при установке сервера и клиентов FreeIPA.
При установке клиента можно использовать ключ --enable-dns-updates, автоматически задающий нужные настройки:
Command |
---|
sudo astra-freeipa-client -d somedom.example.com --par --enable-dns-updates |
однако при этом будет добавлена только опция dyndns_update = true (однократное обновление A/AAAA записей при запуске системы при условии обнаружения изменений).
Настройка централизованного обновления через сервер DHCP
Создание ключей
Создать ключ для сервера DHCP
Настройка простого обновления
Создание ключей
Создаём ключ для сервера DHCP. Создание ключа выполняется командой rndc-confgen. После запуска команды и ввода достаточного количества случайных нажатий ключ будет автроматически автоматически сохранён в файле /etc/bind/rndc.key:
Command |
---|
rndc-confgen -a -r keyboard /dev/random -b 256 |
В файл конфигурации сервера DNS /etc/bind/named.conf после раздела "options" добавляем добавить строчку:
Информация |
---|
include "/etc/bind/rndc.key"; |
Настройка сервера DNS FreeIPA
Запускаем Запустить WEB-интерфейс управления сервера FreeIPA и в свойствах необходимой ПРЯМОЙ зоны в разделе "Правила Политика обновления BIND" добавляем добавить запись:
Информация |
---|
grant rndc-key wildcard * ANY; |
В свойствах обратной соответствующей ОБРАТНОЙ зоны в том же разделе добавляем политику"Политика обновления BIND" добавить запись:
Информация |
---|
grant rndc-key wildcard * PTR; |
Сохраняем Сохранить изменения и перезапускаем перезапустить службы FreeIPA:
Command |
---|
sudo ipactl restart |
Настройка сервера DHCP
Устанавливаем Установить DHCP-сервер в соответствии с инструкциями.
Редактируем файл В файле настроек /etc/default/isc-dhcp-server указать интерфейс, через который должна работать служба:
Информация |
---|
INTERFACESv4="eth0" |
Редактируем Отредактировать файл конфигурации /etc/dhcp/dhcpd.conf
(в примере подразумевается домен samdom.example.com и сеть 10.0.2.0/24 с адресом сервера FreeIPA/DNS 10.0.2.102):
Информация |
---|
ddns-updates on; option domain-name "samdom.example.com"; option domain-name-servers 10.0.2.102; default-lease-time 129600; server-name "ipa.samdom.example.com"; #Эта подсеть должна соответствовать подсети вашей локальной сети, обращенной к устройству ethernetEthernet. |
Запускаем Перезапустить сервис DHCP:
Command |
---|
sudo service isc-dhcp-server startrestart |
Примечание |
---|
Если после неудачного запуска причина неудачного запуска устранена, а сервер всё равно не может стартовать, сообщая, что он уже запущен, следует удалить вручную файл /var/run/dhcpd.pid. |
...