Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents


Warning
В статье описано незащищенное подключение к базе данных. Для защищённго подключения требуется доработка пакета.


Warning

Для настройки FreeIPA используется сторонний пакет, не входящий в Astra Linux.: https://github.com/Turgon37/freeipa-plugin-dhcp

Info
Вероятно, эти же настройки LDAP можно применить к ALD. Не проверялось.




Info

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
  • ОС ОН Орёл 2.12


Введение

При стандартной установке службы DHCP конфигурация этой службы хранится в локальном конфигурационном файле /etc/dhcp/dhcpd.conf. При наличии нескольких DHCP-серверов и сложной конфигурации сети удобнее хранить конфигурации служб централизованно, в единой базе данных. В качестве такой базы данных можно использовать службу каталогов FreeIPA. Далее описывается установка и настройка  службы DHCP для работы с конфигурациями, хранящимися в службе каталогов FreeIPA. Данные настройки могут применяться как для размещения службы DHCP непосредственно на сервере FreeIPA, так и для размещения на отдельном сервере.

Warning
Внимание! Это не динамическое обновление DNS!!! Настройку динамического обновления DNS см. Динамическое обновление DNS клиентских машин FreeIPA.


Установка пакета DHCP

Нужен пакет DHCP, собранный для работы с ldap.

Если ранее был установлен DHCP-сервер, то удалить его:

Command
sudo apt-purge isc-dhcp-server

И взамен установить новый вариант сервера:

Command
sudo apt install isc-dhcp-server-ldap

Если служба DHCP размещается отдельном компьютере, то:

  1. Назначить этому компьютеру статический адрес;
  2. Ввести компьютер в домен FreeIPA;

Настройка сервера FreeIPA

  1. Скачать пакет для регистрации службы (предварительно должен быть установлен пакет git):

    Command
    sudo apt install git
    git clone https://github.com/Turgon37/freeipa-plugin-dhcp.git

    Пакет будет сохранён в текущем каталоге в подкаталоге freeipa-plugin-dhcp.

  2. Исправить пакет, заменив в файле freeipa-plugin-dhcp/install.sh путь

    Code Block
    IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/

    на

    Code Block
    IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/

    Команда для замены:

    Command
    sed -i "s~IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/~IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/~" freeipa-plugin-dhcp/install.sh


  3. Выполнить установку:

    Command
    sudo freeipa-plugin-dhcp/install.sh


  4. Открыть WEB-интерфейс FreeIPA;

  5. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню "Configuration";
    1. В Domain Name указать имя домена:

      Info
      ipadomain.ru


    2. В Domain Name Servers указать IP-адрес DNS-сервера:

      Info
      10.0.2.10


  6. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню Subnets;
    1. Добавить подсеть, например:

      Info
      10.0.2.0/24


    2. В "DHCP Statements" добавить диапазон адресов, например:

      Info
      range 10.0.2.10 10.0.299


  7. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню Servers;
    1. Выбрать компьютер из выпадающего списка (чтобы компьютер появился в этом списке он должен быть введён в домен) и нажать кнопку "Добавить";


Настройка сервера DHCP

  1. Если служба DHCP размещается непосредственно на сервере FreeIPA, то дополнительные настройки не требуются.
    Если служба DHCP размещается отдельном компьютере, то:
    1. Назначить компьютеру статический адрес;
    2. Ввести компьютер в домен FreeIPA;
      После ввода - зарегистрировать компьютер на сервере FreeIPA;
  2. Выполнить общие настроки сервиса (Выполнить общие настройки сервиса (подробнее см.статью DHCP):
    1. В конфигурационном файле /etc/default/isc-dhcp-server указать сетевые интерфейсы, с которыми будет работать сервер.
    2. В конфигурационном файле /etc/dhcp/dhcpd.conf включить (раскомментировать) параметр avtoritativeauthoritative;

  3. В конфигурационном файле /etc/dhcp/dhcpd.conf указать параметры подключения к службе каталогов:

    Info

    authoritative;
    # Имя и порт сервера LDAP
    ldap-server "ipaserver.ipadomain.ru";
    ldap-port 389;
    # Необязательные имя и пароль для подключения.
    #ldap-username "cn=Directory Manager";
    #ldap-password "q2w2e2r2";
    # База поиска
    ldap-base-dn "dc=ipadomain,dc=ru";
    # Метод поиска параметров конфигурации: static - однократное считывание при запуске службы; dynamic - обновления данных при запросах;
    ldap-method dynamic;
    # (не обязательно) Журнал отладки
    ldap-debug-file "/var/log/dhcp-ldap-startup.log";


  4. Перезапустить службу DHCP. Лучше двумя командами stop-start, а не одной restart:

    Command
    sudo systemctl stop isc-dhcp-server
    sudo systemctl start isc-dhcp-server