Введение

Подготовка к

запуску сервера

Сервер

Для нормальной работы сервиса FreeIPA следует:

Доменные имена серверов FreeIPA

• Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня.

Доменное имя

• Доменное имя не должно быть именем первого уровня.
  

  Это значит, что нежелательно использовать имена

  доменов

  , состоящие из одного слова, например domain, testdomain,

  mydonan

  mydomian.

  
  

  Следует использовать имена

  уровней

  уровня два и более, то есть имена вида:

  Информация
  domain.net testdomain.test.lan mycompany.ru

  и т. д.

• В случаях, если при запуске службы FreeIPA когда используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
  запуск службы инициализацию следует производить в режиме «для изолированной сети»
  (опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
  Далее в примерах подразумевается запуск инициализация именно сервиса в режиме «для изолированной сети».
  Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig (входит в пакет dnsutils), например:
  

  Command
  nslookup mydomain.net<имя_домена>

  или

  Command
  dig  mydomain.netdig <имя_домена>

  
  

• В имени домена нельзя использовать кириллицу;
  
  
• Выбранное доменное имя не должно обслуживаться другим контроллером домена.
  Это значит, что при первичной настройке службы FreeIPA будет проверено,
  существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена.
  
  
• Пароль администратора домена должен состоять не менее, чем из восьми символов.

Настройка серверов для FreeIPA

Для нормальной работы служб FreeIPA следует:

• Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;

• Назначить этому компьютеру фиксированный IP-адрес, который впоследствии не должен изменяться;

• В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);

  Предупреждение
  Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. статью DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).

  
  

• В качестве второго DNS можно ничего не указывать или указать внешний DNS (может использоваться для доступа в Интернет, например, для установки пакетов из Интернет-репозиториев);

• После внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf:

  Command
  cat /etc/resolv.conf

  
  
  

Задать имя сервера можно выполнив команду:

• Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.

Якорь
#install #install

Установка пакетов

Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН Орёл.репозитории Astra Linux.Установить необходимые для установки сервера пакеты можно из графического менеджера пакетовиспользуя Графический менеджер пакетов synaptic, или из командной строки:

• Графический графический инструмент:

  Command
  sudo apt install fly-admin-freeipa-server

  
  

• или инструмент командной строки:

  Command
  sudo apt install astra-freeipa-server

  
  

При работе в Astra Linux Common Edition при установке пакетов  автоматически устанавливаются пакеты центра сертификации DogTag.

При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:

• FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition x.7;
• FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.

В ходе установки пакетов будет выдано несколько предупреждений, просто нажать "ОК". После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:

Установить необходимые для установки клиента пакеты можно с помощью графического менеджера пакетов или из командной строки.
Команды для установки из командной строки:

графический инструмент

или инструмент командной строки

На предупреждения, возникающие при установке, также нажать "ОК"

После установки графический инструмент fly-admin-freeipa-client будет доступен через меню:

Описание тестового примера

Для дальнейшего описания настройки сервиса FreeIPA примем принимаются следующие допущения:

• мы хотим создать создается собственный домен второго уровня с названием: astradomain.ad;

• имя будущего контроллера сервера:

  • имя в краткой форме: astraipa

  • имя в полной форме (FQDN): astraipa.astradomain.ad

При этом, в тестовом примере будет использован несуществующий домен astradomain.ad

Быстрая настройка и запуск сервера

Быстрая инициализация сервера

Особенности быстрой инициализации

Быстрая инициализация

с помощью графического инструмента fly-admin-freeipa-server

Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:

После запуска на экране появляется форма для ввода данных, в которой нужно указать:

• «Домен» - имя домена, в . В используемом примере это будет astradomain.ad;

• «Имя компьютера» - имя компьютера определяется . Определяется автоматически, в используемом примере заменим его на astraipa;

• «Пароль» - пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.;

После ввода данных запуск сервиса инициализация сервера FreeIPA осуществляется нажатием кнопки кнопки «Создать».

В процессе запуска инициализации в соответствующем окне отображаются выполняющиеся операции.

После успешного выполнения запуск инициализации на нижней рамке окна инструмента появится WEBweb-ссылка для перехода в WEBweb-интерфейс FreeIPA.
Теперь можно , что позволяет войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.

Инициализация с использованием центра сертификации DogTag

Для Astra Linux Common Edition и для Astra Linux Special Edition x.7

Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите :

1. Запустить инструмент;
2. Нажать кнопку "Показать расширенные опции"

1. ;
2. Отметить пункт "Настроить центр сертификации":
   Image Modified

Для Astra Linux Special Edition выпущенных до очередного обновления x.7

См. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.

Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server

Запуск сервиса При правильно выполненных предварительных настройках и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server осуществляется может быть осуществлена командой:

При этом инструмент сам определит все необходимые параметры. При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:

После ввода команды инструмент автоматически определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:

После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введённый Введенный пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA. 

После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране. В завершение , будут выданы сообщения о перезапуске различных системных служб:

Эти сообщения говорят об успешном завершении процесса.

Теперь можно войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке строке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.

Инициализация с использованием центра сертификации DogTag

Для автоматической установки настройки FreeIPA с одновременной автоматической установкой сервиса настройкой центра сертификации DogTag используйте опцию --dogtag, например:

Command
sudo astra-freeipa-server -d astradomain.ad -n astraipa -o --dogtag

Инициализация без использования центра сертификации DogTag

Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию --ssl, например:

Первый вход в

web-интерфейс

FreeIPA

После завершения процедур запуска для входа в WEBweb-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.

В примерах, приведенных в настоящем документе, для обеспечения зашиты защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEBweb-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:

• нажать кнопку «Дополнительно»

• в открывшемся окне нажать кнопку «Добавить исключение»

• в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»

и на экране браузера откроется WEB/-интерфейс FreeIPA.

Для входа в WEBweb-интерфейс используйте имя admin, администратора и пароль, ранее введённый заданные при запуске инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.

В случае, если при входе в WEBweb-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEBweb-интерфейсу используются:

• протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
• полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)

Проверка запущенных служб и ролей FreeIPA

Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:

Примерный вывод команды:

В зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:

• в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
• если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
• если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).

Для проверки ролей сервера можно использовать WEBweb-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например:

Image Modified

Удаление и переустановка сервера FreeIPA

Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:

Для переустановки сервера FreeIPA рекомендуется использовать переустановленную ("чистую") ОС.