| Оглавление |
|---|
| Отображение дочерних |
|---|
| Информация | ||
|---|---|---|
|
|
|
|
| Информация |
|---|
FreeIPA (Free Identity, Policy and Audit) — открытый проект централизованной системы управления идентификацией пользователей, политиками доступа и аудита. В состав FreeIPA входят:
FreeIPA также использует Samba для интеграции с Microsoft Active Directory и поддержки компьютеров на базе Microsoft Windows и Apple Macintosh. |
Подготовка к установке сервера
| Предупреждение |
|---|
ВАЖНО!
|
Доменное имя
- Доменное имя не должно быть именем первого уровня.
Это значит, что нежелательно использовать имена доменов, состоящие из одного слова, например domain, testdomain, mydomian.
Следует использовать имена уровней два и более, то есть имена вида:
| Информация |
|---|
domain.net |
В случаях, если при запуске службы FreeIPA используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
запуск службы следует производить в режиме «для изолированной сети»
(опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
Далее в примерах подразумевается запуск именно сервиса в режиме «для изолированной сети».
Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig, например:Command nslookup mydomain.net или
Command dig mydomain.net - В имени домена нельзя использовать кириллицу;
- Выбранное доменное имя не должно обслуживаться другим контроллером домена.
Это значит, что при первичной настройке службы FreeIPA будет проверено,
существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена. - Пароль администратора домена должен состоять не менее, чем из восьми символов.
Сервер
Для нормальной работы сервиса FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер;При использовании виртуального компьютера выделить этому компьютеру , на котором должно быть установлено не менее 2ГБ ОЗУ и 3-х процессоров;
Назначить этому компьютеру фиксированный IP-адрес, который, впоследствии, не должен изменяться;
В настройках сетевого интерфейса указать этот IP-адрес в качестве первого DNS (см. Настройка сети в ОС Astra Linux);
В качестве второго DNS можно ничего не указывать или указать внешний DNS (в случае установки пакетов из внешнего репозитория);
После внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf :Command cat /etc/resolv.conf
| Предупреждение |
|---|
В /etc/hostname должно содержаться FQDN ( astraipa.astradomain.ad ). Файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Так как запрос к этому файлу имеет приоритет перед обращением к DNS. Чтобы не было путаницы, в нем рекомендуется только запись "самого себя", <ip адрес> + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера. |
Для добавления имени хоста можно выполнить команду:
| Command |
|---|
hostnamectl set-hostname astraipa.astradomain.ad |
| Предупреждение |
|---|
Разрешить загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6) |
- Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.
Установка пакетов
Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН ОрёлAstra Linux Common Edition.
Установить необходимые для установки сервера пакеты можно из графического менеджера пакетов, или из командной строки:
Графический инструмент
Command sudo apt install fly-admin-freeipa-server или инструмент командной строки
Command sudo apt install astra-freeipa-server
В ходе установки будет выдано несколько предупреждений, просто нажать "ОК".
После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
| Информация |
|---|
| "Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA server fly" |
Установить необходимые для установки клиента пакеты можно с помощью графического менеджера пакетов или из командной строки.
Команды для установки из командной строки:
графический инструмент
Command sudo apt install fly-admin-freeipa-client или инструмент командной строки
Command sudo apt install astra-freeipa-client
На предупреждения, возникающие при установке, также нажать "ОК"
После установки графический инструмент fly-admin-freeipa-client будет доступен через меню:
| Информация |
|---|
| "Пуск" - "Панель управления" - "Сеть" - "Настройка FreeIPA clientfly" |
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA примем следующие допущения:
мы хотим создать собственный домен второго уровня с названием:
astradomain.ad;имя будущего контроллера сервера:
имя в краткой форме:
astraipaимя в полной форме (FQDN):
astraipa.astradomain.ad
При этом, в тестовом примере будет использован несуществующий домен astradomain.ad
Быстрая настройка и запуск сервера
Быстрый запуск сервиса FreeIPA с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
| Command |
|---|
fly-admin-freeipa-server |
После запуска на экране появляется форма для ввода данных, в которой нужно указать:
«Домен» - имя домена, в используемом примере это будет astradomain.ad
«Имя компьютера» - имя компьютера определяется автоматически, в используемом примере заменим его на astraipa
«Пароль» - пароль для администратора домена. Введённый пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода данных запуск сервиса осуществляется нажатием кнопки «Создать»
В процессе запуска в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения запуск на нижней рамке окна инструмента появится WEBweb-ссылка для перехода в WEBweb-интерфейс FreeIPA.
Теперь можно войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag (только для
ОС ОН ОрёлAstra Linux Common Edition)
Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите кнопку "Показать расширенные опции" и отметьте пункт "Настроить центр сертификации":
Быстрый запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server
При правильно выполненных предварительных настройках запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлён простой командой:
| Command |
|---|
| sudo astra-freeipa-server |
При этом инструмент должен сам определить все необходимые параметры.
При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:
| Command |
|---|
| sudo astra-freeipa-server -d astradomain.ad -n astraipa -o |
После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:
| Информация |
|---|
compname= astraipa Для подтверждения введите «y» и нажмите Enter. |
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена.
Введённый пароль понадобится в дальнейшем для входа в WEBweb-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране.
В завершение, будут выданы сообщения о перезапуске различных системных служб:
| Информация |
|---|
Restarting Directory Service |
Эти сообщения говорят об успешном завершении процесса.
Теперь можно войти в WEBweb-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEBweb-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag (только для
ОС ОН ОрёлAstra Linux Common Edition)
Для автоматической установки FreeIPA с одновременной автоматической установкой сервиса центра сертификации DogTag используйте опцию --dogtag, например:
| Command |
|---|
| sudo astra-freeipa-server -d astradomain.ad -n astraipa -o --dogtag |
Первый вход в
WEBweb-интерфейс инструмента FreeIPA
После завершения процедур запуска для входа в WEBweb-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения зашиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEBweb-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:
нажать кнопку «Дополнительно»
в открывшемся окне нажать кнопку «Добавить исключение»
в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в WEBweb-интерфейс используйте имя admin, и пароль, ранее введённый при запуске системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в WEBweb-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEBweb-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
- полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl:
| Command |
|---|
| sudo ipactl status |
Примерный вывод команды:
| Раскрыть |
|---|
$ sudo ipactl status |
Для проверки ролей сервера можно использовать WEBweb-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например:
