Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Оглавление




Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и  исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition 2.12



Предупреждение

При выполнении приведённых приведенных ниже инструкций на виртуальных машинах выделите машинам должно быть выделено достаточное количество ресурсов:

  • не менее 3-х процессоров;
  • не менее 2ГБ ОЗУ.

Недостаток ресурсов ведёт ведет к сложно диагностируемым случайным ошибкам.


Настройка стенда с генерацией сертификатов

Стенд состоит из 5 машин:

ИнформацияИмена машин должны быть полными, например

компьютеров. Имена компьютеров должны содержать доменную составляющую, например, имя компьютера ipacd в домене test.com: ipacd.test.com.

Состав стенда:

  1. Контролер домена:
    1. Имя: ipacd.test.com
    с адресом
    1. .
    2. IP-адрес: 10.0.0.156.
  2. Контроллер-реплика номер 1:
    1. Имя:
    Сервер-реплика1
    1. ipaserv1.test.com
    с адресом
    1. .
    2. IP-адрес: 10.0.0.157.
    Сервер
  3. Контроллер-реплика номер 2:
    1. Имя:
    -реплика2
    1. ipaserv2.test.com
    с адресом
    1. .
    2. IP-адрес: 10.0.0.158.
  4. Клиент для настройки сервисовСервер доменных служб (apache2, postgresql, mail, печать):
    1. Имя ipasrv.test.com
    с адресом
    1. .
    2. IP-адрес: 10.0.0.159.
  5. Клиентский компьютер:
    1. Имя:
    Клиентская машина
    1. ipaclient.test.com
    с адресом
    1. .
    2. IP-адрес: 10.0.0.160.

Все IP-адреса должны быть статичными.
Пароли для простоты используем 12345678 для всего.
Перед настройкой и инициализацией серверов необходимо создать Для всех паролей далее используется 12345678.

  1. Если на контроллерах домена не используется DogTag, то перед инициализацией контроллеров-реплик необходимо создать для них ключи и сертификаты. См.
статью
  1. статьи:
    1. Создание сертификатов для FreeIPA с помощью XCA без использования DogTag.

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины (сертификаты создавать от обычного пользователя, не от root!).

  • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
  • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
  • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com
    1. Astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA
  1. Ключи и сертификаты переписать на соответствующие машины.

Настройка контроллера доменаНастройка КД:

  1. Установить пакет:

    Command
    sudo apt install astra-freeipa-server


  2. Инициализация сервераИнициализировать контроллер:

    Command
    sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c

    Где:
    -l -путь к сертификату,
    -lp - пароль к сертификату,
    -o -для локальной сети используется изолированная среда,
    -c - не править файл hosts
    При запросе, пароль пользователя admin задаем 12345678

  3. Проверить состояние сервисовслужб:

    Command
    sudo ipactl status

      все статусы служб должны быть RUNNING

  4.  Получить билет Kerberos:

    Command
    kinit admin


  5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

    Информация
    https://ipacd.test.com
    логин: admin
    пароль: 12345678


Настройка клиента

  1. Установить пакет:

    Command
    astra-freeipa-client


  2. Настроить в качестве сервера DNA адрес контроллера домена.


  3. На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
    dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

    Информация
    domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)

    где 10.0.0.156 - адрес сервера FreeIPA
    Проверить, что домен доступен с клиентской машины:

    Command
    ping ipacd.test.com


  4. Инициализировать клиента Выполнить ввод в домен командой

    Command
    astra-freeipa-client -d test.com
    пароль: 12345678


Проверка

  1. Получить билет на клиентской машине:

    Command
    kinit admin


  2. Проверка на клиентской машине:

    Command
    ipa host-find


  3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

  1. На машинахконтроллерах-репликах установить и инициализировать клиенты.

  2. Доустановить Установить пакеты для сервера.

  3. Получить билет:

    Command
    kinit admin



  4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

    Информация
    10.0.0.156 ipacd.test.com ipacd


  5. Запустить репликацию:

    Command
    ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse