| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
| Предупреждение |
|---|
При выполнении приведённых приведенных ниже инструкций на виртуальных машинах выделите машинам должно быть выделено достаточное количество ресурсов:
Недостаток ресурсов ведёт ведет к сложно диагностируемым случайным ошибкам. |
Настройка стенда с генерацией сертификатов
Стенд состоит из 5 машин:
компьютеров. Имена компьютеров должны содержать доменную составляющую, например, имя компьютера ipacd в домене test.com: ipacd.test.com.
Состав стенда:
- Контролер домена:
- Имя: ipacd.test.com
- .
- IP-адрес: 10.0.0.156.
- Контроллер-реплика номер 1:
- Имя:
- ipaserv1.test.com
- .
- IP-адрес: 10.0.0.157.
- Контроллер-реплика номер 2:
- Имя:
- ipaserv2.test.com
- .
- IP-адрес: 10.0.0.158.
- Клиент для настройки сервисовСервер доменных служб (apache2, postgresql, mail, печать):
- Имя ipasrv.test.com
- .
- IP-адрес: 10.0.0.159.
- Клиентский компьютер:
- Имя:
- ipaclient.test.com
- .
- IP-адрес: 10.0.0.160.
Все IP-адреса должны быть статичными.
Пароли для простоты используем 12345678 для всего.
Перед настройкой и инициализацией серверов необходимо создать Для всех паролей далее используется 12345678.
- Если на контроллерах домена не используется DogTag, то перед инициализацией контроллеров-реплик необходимо создать для них ключи и сертификаты. См.
Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины (сертификаты создавать от обычного пользователя, не от root!).
- Сертификат ipacd.test.com.p12 для КД ipacd.test.com
- Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
- Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com
- Ключи и сертификаты переписать на соответствующие машины.
Настройка контроллера доменаНастройка КД:
Установить пакет:
Command sudo apt install astra-freeipa-server Инициализация сервераИнициализировать контроллер:
Command sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c Где:
-l -путь к сертификату,
-lp - пароль к сертификату,
-o -для локальной сети используется изолированная среда,
-c - не править файл hosts
При запросе, пароль пользователя admin задаем 12345678Проверить состояние сервисовслужб:
Command sudo ipactl status все статусы служб должны быть RUNNING
Получить билет Kerberos:
Command kinit admin В браузере войти в web-интерфейс с адресом, выданным при установке сервера:
Информация https://ipacd.test.com
логин: admin
пароль: 12345678
Настройка клиента
Установить пакет:
Command astra-freeipa-client Настроить в качестве сервера DNA адрес контроллера домена.
На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:Информация domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa) где 10.0.0.156 - адрес сервера FreeIPA
Проверить, что домен доступен с клиентской машины:Command ping ipacd.test.com Инициализировать клиента Выполнить ввод в домен командой
Command astra-freeipa-client -d test.com
пароль: 12345678
Проверка
Получить билет на клиентской машине:
Command kinit admin Проверка на клиентской машине:
Command ipa host-find На КД в веб-форме, в закладке Узлы должна появиться клиентская машина
Настройка репликации
- На машинахконтроллерах-репликах установить и инициализировать клиенты.
- Доустановить Установить пакеты для сервера.
Получить билет:
Command kinit admin Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:
Информация 10.0.0.156 ipacd.test.com ipacd Запустить репликацию:
Command ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse