| Оглавление |
|---|
Предварительные настройки клиентского компьютера
Для ввода клиентского компьютера в домен FreeIPA| Информация | ||
|---|---|---|
| ||
|
Условия для ввода клиентского компьютера в домен
Для ввода компьютера (далее - клиент) в домен FreeIPA (ALD Pro) должны быть выполнены следующие условия:
Клиент и
На клиентском компьютере должно быть настроено разрешение имени сервера FreeIPA, в качестве сервера DNS должен быть указан сервер FreeIPA (для проверки использовать "ping ipaserver.ipadomain.ru" и убедиться, что этот сервер отвечает).
| Предупреждение |
|---|
В /etc/hostname должно содержаться FQDN (client.ipadomain.ru). Файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Так как запрос к этому файлу имеет приоритет перед обращением к DNS. Чтобы не было путаницы, рекомендуется добавить только запись "самого себя", <ip адрес> + имя в формате FQDN |
Настроить разрешение имён можно с помощью графического менеджера сетевых подключений NetworkManager.
| Информация |
|---|
| После внесения изменений перезапустить сетевое подключение. |
Пример сценария настройки DNS на клиентском компьютере из командной строки (сценарий применим для русскоязычных компьютеров с включенной сетевой службой NetworkManager):
# отключаем соединение
sudo nmcli con down "Проводное соединение 1"
контроллер домена FreeIPA (далее - КД) должны находиться в одной широковещательной сети и иметь доступ друг к другу. Для проверки доступности можно использовать команду на клиенте и на КД:
Command ping <IP-адрес_другого_компьютера>
- Для быстрого ввода клиент не должен быть уже введен в другой домен (в частности, в домен ALD). Также не клиенте не должны быть установлены пакеты, предназначенные для работы с доменами не FreeIPA.
- До ввода клиентского компьютера в домен на клиентском компьютере должны быть настроены:
- Служба синхронизации времени. Показания системных часов клиента и КД должны совпадать. В качестве источника точного времени для клиента можно использовать КД. Подробнее про настройку служб времени см. Службы синхронизации времени в Astra Linux.
- Разрешение имени КД с помощью доменной службы DNS, т.е. в качестве IP-адреса сервера DNS (одного из серверов DNS) должен быть указан IP-адрес КД. Далее приведен пример настройки, подробную информацию см. в статье Настройка сетевых подключений в Astra Linux.
Имя компьютера (имя, под которым он будет зарегистрирован в домене). Указать (изменить) имя компьютера можно выполнив на этом компьютере команду:
Command sudo hostnamectl set-hostname <имя_компьютера> При этом указывать полное доменное имя не обязательно, достаточно указать короткое имя, например, имя ws12345:
Command sudo hostnamectl set-hostname ws12345 В файле /etc/hosts не допускается наличие строк, связывающих имя компьютера с IP-адресами локальной петли, т.е. строк вида:
Блок кода 127.0.1.1 <имя_компьютера>Такие строки должны быть удалены перед вводом в домен. Строка, определяющая локальный интерфейс локальной петли, является корректной и должна быть сохранена (используется зарезервированное имя localhost, а не заданное имя компьютера):
Блок кода 127.0.0.1 localhost
Настройка разрешения имени контроллера домена с помощью службы DNS
- При использовании службы NetworkManager:
- Использовать для настройки графический интерфейс службы NetworkManager. После внесения изменений - перезапустить настраиваемое сетевое подключение, чтобы изменения вступили в силу.
- Использовать инструменты командной строки NetworkManager (инструмент nmcli):
Получить список сетевых подключений командой:
Command nmcli con show По умолчанию в Astra Linux используется имя сетевого подключения "Проводное соединение 1" (далее используется в примерах). Пример вывода команды:
Блок кода NAME UUID TYPE DEVICE Проводное соединение 1 7cdd188d-875e-3b26-8b51-4a30b80cc37f ethernet eth0Для найденного сетевого подключения задать необходимые параметры. Примеры команд:
Назначить сетевому подключению сетевую карту (по умолчанию используется сетевая карта eth0):
Command
sudo nmcli con mod "Проводное соединение 1" connection.interface-name eth0
Настроить IP-адрес сервера DNS. IP-адрес сервера DNS может предоставляться DHCP-сервером (см. статью DHCP). Если DHCP-сервер не используется или предоставляет неверный IP-адрес, то:
Запретить использовать IP-адреса серверов DNS, предоставляемые DHCP-сервером:
Command sudo nmcli con mod "Проводное соединение 1" ipv4.
ignore-auto-dns yes
Указать IP-адрес (IP-адреса) КД, и, опционально, отделенный пробелом IP-адрес внешнего сервера DNS (требуется если клиенту необходим доступ в Интернет, а перенаправление запросов DNS не включено на КД). Для примера в качестве внешнего DNS указан DNS Яндекс (IP-адрес 77.88.8.8):
Command sudo nmcli con mod "Проводное соединение 1" ipv4.
dns "<IP-адрес КД> 77.88.8.8"
Перезапустить (выключить и включить) сетевое подключение. Это лучше всегда делать одной командой, чтобы не потерять связь с настраиваемым компьютером при работе через удаленное подключение (например, через SSH или при настройке с помощью сценариев Puppet/Ansible):
Command sudo nmcli con down "Проводное соединение 1" ; sudo nmcli con up "Проводное соединение 1"
Данная статья применима к:
Если используется не служба NetworkManager, а служба Networking, то IP-адрес (IP-адреса) серверов DNS можно указать непосредственно в конфигурационном файле /etc/resolv.conf, например:
Блок кода search ipadomain0.ru nameserver <IP-адрес КД> nameserver 77.88.8.8после чего перезапустить службу:
Command sudo systemctl restart networking
Установка пакетов
При наличии подключенного репозитория пакетов все необходимые для установки пакеты можно установить командой apt или из графического менеджера пакетов synaptic
(см. Графический менеджер пакетов synaptic). При установке инструментов Astra Linux все необходимые пакеты устанавливаются автоматически.
Графический инструмент fly-admin-freeipa-client
Графический инструмент для ввода в домен представлен в пакете fly-admin-freeipa-client. Для его установки можно использовать команду:
| Command |
|---|
| sudo apt install fly-admin-freeipa-client |
Инструмент командной строки astra-freeipa-client
Для установки инструмента командной строки можно использовать команду:
| Command |
|---|
| sudo apt install astra-freeipa-client |
Ввод компьютера в домен
Графический инструмент
После установки графический инструмент fly-admin-freeipa-client доступен для запуска из командной строки или через систему меню:
"Пуск" - "Панель управления" - Сеть" - "Настройка FreeIPA клиент Fly"
Для ввода компьютера в домен нужно:
- Выполнить предварительную настройку DNS, как описано выше;
- Запустить графический инструмент fly-admin-freeipa-client и в открывшемся окне ввести
- Имя домена;
- Имя администратора домена;
- Пароль администратора домена;
После ввода данных нажать кнопку "Подключиться"
Командная строка
Выполнить предварительную настройку DNS, как описано выше, после чего ввод компьютера в домен FreeIPA выполняется командой:
| Command |
|---|
| sudo astra-freeipa-client |
в качестве имени домена будет автоматически использовано доменное имя сервера DNS.
Или указать имя домена с помощью опции " -d " :
| Command |
|---|
| sudo astra-freeipa-client -d ipadomain.ru |
При этом можно указать дополнительные опции:
- -p для ввода пароля (небезопасно);
- -y для автоматического ответа "да" на все вопросы;
| Предупреждение |
|---|
| После ввода машины в домен выполнить перезагрузку. |
Настройка домашних каталогов доменных пользователей
По умолчанию домашние каталоги доменных пользователей располагаются в каталоге /home.
Централизованно для всего домена изменить умолчание можно в свойствах контроллера домена.
В домене FreeIPA локальное переопределение для индивидуальных пользователей командой sss_override не поддерживается.
Локально изменить умолчание можно в конфигурации службы sssd (файл /etc/sssd/sssd.conf), указав в секции настроек службы nss или в секции настроек домена следующие параметры:
- override_homedir - строка, переопределяющая размещение домашних каталогов. По умолчанию не используется (используется значение, переданное контроллером домена). Указывается как абсолютный путь к домашнему каталогу, при этом могут использоваться следующие подстановки:
- %u — имя, использованное для входа;
- %U — числовой идентификатор пользователя;
- %d — имя домена;
- %f – полное имя пользователя с доменной составляющей;
- %l — первая буква имени, использованного для входа;
- %P — имя принципала Kerberos (UPN, обычно - полное имя пользователя с доменной составляющей, написанной заглавными буквами);
- %o — оригинальное имя домашнего каталога, полученное от контроллера домена;
- %h — оригинальное имя домашнего каталога, полученное от контроллера домена, написанное строчными буквами;
- %H — значение параметра homedir_substring (см. далее);
- %% — символ процента;
homedir_substring — используется для подстановки в значение параметра overrode_homedir если оно содержит %H. По умолчанию используется значение /home.
fallback_homedir — используется для выбора домашнего каталога, для которого домашний каталог не задан контроллером домена. Поддерживает такие же подстановки, как override_homedir.
Рекомендуется использовать для домашних каталогов доменных пользователей доменную составляющую, например, использовать каталоги вида /home/<имя_домена>/<имя_пользователя>:
| Блок кода |
|---|
override_homedir = /home/%d/%u |
Вывод клиентской машины из домена
Для вывода клиентской машины из домена:
- На контроллере домена:
Удалить клиентскую машину из списка хостов домена. Для этого можно использовать web-интерфейс FreeIPA или командную строку:
Command ipa host-del <имя_машины> --update-dns При использовании web-интерфейса отметить check-box для удаления записей DNS.
На выводимой машине:
Выполнить команду:
Command sudo astra-freeipa-client -U - Подтвердить выполнение команды.
Удалить неиспользуемые пакеты, например:
Command sudo apt purge astra-freeipa-client sssd krb5-user --autoremove