| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
| Предупреждение |
|---|
При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам. |
Данная статья применима к:
Настройка стенда с генерацией сертификатов
Стенд состоит из 5 машин:
| Информация |
|---|
| Имена машин должны быть полными, например: ipacd.test.com |
- Контролер домена ipacd.test.com с адресом 10.0.0.156
- Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
- Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
- Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
- Клиентская машина ipaclient.test.com с адресом 10.0.0.160
Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.
Перед настройкой и инициализацией серверов необходимо создать сертификаты.
См. также Создание сертификатов для FreeIPA с помощью XCA
Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)
- Сертификат ipacd.test.com.p12 для КД ipacd.test.com
- Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
- Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com
Настройка КД:
Установить пакет:
Command sudo apt install astra-freeipa-server Инициализация сервера:
Command sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c Где:
-l -путь к сертификату,
-lp - пароль к сертификату,
-o -для локальной сети используется изолированная среда,
-c - не править файл hosts
При запросе, пароль пользователя admin задаем 12345678Проверить состояние сервисов:
Command sudo ipactl status все статусы должны быть RUNNING
Получить билет:
Command kinit admin В браузере войти в web-интерфейс с адресом, выданным при установке сервера:
Информация https://ipacd.test.com
логин: admin
пароль: 12345678
Настройка клиента
Установить пакет:
Command astra-freeipa-client На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:Информация domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa) где 10.0.0.156 - адрес сервера FreeIPA
Проверить, что домен доступен с клиентской машины:
Command ping ipacd.test.com Инициализировать клиента командой
Command astra-freeipa-client -d test.com
пароль: 12345678
Проверка
Получить билет на клиентской машине:
Command kinit admin Проверка на клиентской машине:
Command ipa host-find На КД в веб-форме, в закладке Узлы должна появиться клиентская машина
Настройка репликации
- На машинах-репликах установить и инициализировать клиенты.
- Доустановить пакеты для сервера.
Получить билет:
Command kinit admin Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:
Информация 10.0.0.156 ipacd.test.com ipacd Запустить репликацию:
Command ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse