Оглавление |
---|
Отображение дочерних |
---|
Информация | ||
---|---|---|
|
|
|
Для использования службы DogTag в Astra Linux Special Edition x.7 требуется подключение расширенного репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования. |
Введение
Раскрыть |
---|
FreeIPA (Free Identity, Policy and Audit) — открытый проект централизованной системы организации единого пространства пользователей (ЕПП), т.е. системы управления идентификацией и аутентификацией пользователей, политиками доступа и аудита. В состав FreeIPA входят:
FreeIPA также использует Samba для интеграции с Microsoft Active Directory и поддержки компьютеров на базе Microsoft Windows и Apple Macintosh. |
Подготовка к
установкезапуску сервера
Предупреждение | |||
---|---|---|---|
| ВАЖНО
| ||
Сервис Службы FreeIPA крайне чувствителенчувствительны к правильным настройкам параметров операционной системы. Даже при запуске сервисаFreeIPA в тестовом режиме следует придерживаться приведённыхприведенных ниже правил. |
Сервер
Для нормальной работы сервиса FreeIPA следует:
|
Доменные имена серверов FreeIPA
Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня.
Предупреждение |
---|
Разрешить загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6) |
Доменное имя
- Доменное имя не должно быть именем первого уровня.
Это значит, что нежелательно использовать имена
доменов, состоящие из одного слова, например domain, testdomain,
mydonanmydomian.
Следует использовать имена
уровнейуровня два и более, то есть имена вида:
Информация domain.net
testdomain.test.lan
mycompany.ruи т. д.
В случаях, если при запуске службы FreeIPA когда используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
запуск службы инициализацию следует производить в режиме «для изолированной сети»
(опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
Далее в примерах подразумевается запуск инициализация именно сервиса в режиме «для изолированной сети».
Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig (входит в пакет dnsutils), например:Command nslookup mydomain.net<имя_домена> или
Command dig mydomain.netdig <имя_домена> - В имени домена нельзя использовать кириллицу;
- Выбранное доменное имя не должно обслуживаться другим контроллером домена.
Это значит, что при первичной настройке службы FreeIPA будет проверено,
существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена. - Пароль администратора домена должен состоять не менее, чем из восьми символов.
Настройка серверов для FreeIPA
Для нормальной работы служб FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;
Назначить этому компьютеру фиксированный IP-адрес, который впоследствии не должен изменяться;
В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);
Предупреждение Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. статью DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).
В качестве второго DNS можно ничего не указывать или указать внешний DNS (может использоваться для доступа в Интернет, например, для установки пакетов из Интернет-репозиториев);
После внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf:
Command cat /etc/resolv.conf
Предупреждение |
---|
В файле /etc/hostname должно содержаться полное доменное имя (FQDN) сервера, например astraipa.astradomain.ad. Так как запросы к файлу /etc/hosts имеют приоритет перед обращением к DNS, файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Для предотвращения конфликтов с доменной службой DNS рекомендуется оставить в файле /etc/hosts только запись "самого себя", <IP-адрес> + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера. |
Задать имя сервера можно выполнив команду:
Command |
---|
sudo hostnamectl set-hostname <имя_сервера> |
Предупреждение |
---|
Настроить сеть, разрешив загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6) |
- Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.
Якорь | ||||
---|---|---|---|---|
|
Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН Орёл.репозитории Astra Linux.Установить необходимые для установки сервера пакеты можно из графического менеджера пакетовиспользуя Графический менеджер пакетов synaptic, или из командной строки:
Графический графический инструмент:
Command sudo apt install fly-admin-freeipa-server или инструмент командной строки:
Command sudo apt install astra-freeipa-server
При работе в Astra Linux Common Edition при установке пакетов автоматически устанавливаются пакеты центра сертификации DogTag.
При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:
- FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition x.7;
- FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
В ходе установки пакетов будет выдано несколько предупреждений, просто нажать "ОК". После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA server fly" |
Команды для установки из командной строки:
графический инструмент
Command |
---|
apt install fly-admin-freeipa-client |
или инструмент командной строки
Command |
---|
apt install astra-freeipa-client |
На предупреждения, возникающие при установке, также нажать "ОК"
После установки графический инструмент fly-admin-freeipa-client будет доступен через меню:
Информация |
---|
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA clientfly" |
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA примем принимаются следующие допущения:
мы хотим создать создается собственный домен второго уровня с названием:
astradomain.ad
;имя будущего контроллера сервера:
имя в краткой форме:
astraipa
имя в полной форме (FQDN):
astraipa.astradomain.ad
При этом, в тестовом примере будет использован несуществующий домен astradomain.ad
Быстрая настройка и запуск сервера
Быстрый запуск сервиса FreeIPAБыстрая инициализация сервера
Особенности быстрой инициализации
Предупреждение |
---|
В зависимости от используемой ОС по умолчанию приняты следующие параметры быстрой инициализации:
|
Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
Command |
---|
fly-admin-freeipa-server |
После запуска на экране появляется форма для ввода данных, в которой нужно указать:
«Домен» - имя домена, в . В используемом примере это будет astradomain.ad;
«Имя компьютера» - имя компьютера определяется . Определяется автоматически, в используемом примере заменим его на astraipa;
«Пароль» - пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.;
После ввода данных запуск сервиса инициализация сервера FreeIPA осуществляется нажатием кнопки кнопки «Создать».
В процессе запуска инициализации в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения запуск инициализации на нижней рамке окна инструмента появится WEBweb-ссылка для перехода в WEBweb-интерфейс FreeIPA.
Теперь можно , что позволяет войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
Информация |
---|
При инициализации контроллера домена FreeIPA с использованием центра сертификации DogTag |
на платформах, отличных от платформы x86-64 рекомендуется перед началом инициализации создать переменную окружения PKISPAWN_STARTUP_TIMEOUT_SECOND и присвоить ей значение не менее 600. Подробнее см. Присвоение значений переменным окружения для пользовательских сессий. |
Для Astra Linux Common Edition и для Astra Linux Special Edition x.7
Предупреждение |
---|
Для инициализации FreeIPA с центром сертификации DogTag предварительно должны быть установлены необходимые пакеты. См. Установка пакетов. |
Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите :
- Запустить инструмент;
- Нажать кнопку "Показать расширенные опции"
- ;
- Отметить пункт "Настроить центр сертификации":
Для Astra Linux Special Edition выпущенных до очередного обновления x.7
См. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server
Запуск сервиса При правильно выполненных предварительных настройках и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server осуществляется может быть осуществлена командой:
Command |
---|
sudo astra-freeipa-server |
При этом инструмент сам определит все необходимые параметры. При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:
Command |
---|
sudo astra-freeipa-server -d astradomain.ad -n astraipa -o |
После ввода команды инструмент автоматически определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:
Информация |
---|
compname= astraipa Для подтверждения введите «y» и нажмите Enter. |
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране. В завершение , будут выданы сообщения о перезапуске различных системных служб:
Информация |
---|
Restarting Directory Service |
Эти сообщения говорят об успешном завершении процесса.
Теперь можно войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке строке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
(только для ОС ОН Орёл)Для автоматической установки настройки FreeIPA с одновременной автоматической установкой сервиса настройкой центра сертификации DogTag используйте опцию --dogtag, например:
Command |
---|
sudo astra-freeipa-server -d astradomain.ad -n astraipa -o --dogtag |
Инициализация без использования центра сертификации DogTag
Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию --ssl, например:
Command |
---|
sudo astra-freeipa-server -o --dogtagssl |
Первый вход в
WEBweb-интерфейс
инструментаFreeIPA
После завершения процедур запуска для входа в WEBweb-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения зашиты защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEBweb-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:
нажать кнопку «Дополнительно»
в открывшемся окне нажать кнопку «Добавить исключение»
в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в WEBweb-интерфейс используйте имя admin, администратора и пароль, ранее введённый заданные при запуске инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в WEBweb-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEBweb-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
- полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:
Command |
---|
ipactl status |
Примерный вывод команды:
Раскрыть | |||
---|---|---|---|
|
| ||
Directory Service: RUNNING |
В зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:
- в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
- если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
- если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).
Для проверки ролей сервера можно использовать WEBweb-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например:
Настройка компьютеров для клиентов
Для настройки клиентского компьютера можно использовать графический инструмент fly-admin-freeipa-client или инструмент командной строки astra-freeipa-client.
Установка этих инструментов описана в первой части этой статьи.
После установки графический инструмент fly-admin-freeipa-client доступен через меню:
Удаление и переустановка сервера FreeIPA
Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:
Command |
---|
sudo astra-freeipa-server -U |
Для переустановки сервера FreeIPA рекомендуется использовать переустановленную ("чистую") ОС.
"Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA clientfly"