Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
(для использования службы DogTag требуется подключение расширенного репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования)Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
(для использования службы DogTag требуется подключение расширенного репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования)- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) (кроме работы с DogTag)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп.2 (кроме работы с DogTag)
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) (кроме работы с DogTag)
- Astra Linux Common Edition 2.12
Введение
Подготовка к установке сервера
ВАЖНО!
Сервис FreeIPA крайне чувствителен к правильным настройкам параметров операционной системы.
Даже при запуске сервиса в тестовом режиме следует придерживаться приведённых ниже правил.
- Сервис FreeIPA необходимо устанавливать на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Доменное имя
Доменное имя не должно быть именем первого уровня. Это значит, что нежелательно использовать имена доменов, состоящие из одного слова, например domain, testdomain, mydomian. Следует использовать имена уровней два и более, то есть имена вида:
domain.net
testdomain.test.lan
mycompany.ruи т. д.
В случаях, когда при инициализации служб FreeIPA используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях), инициализацию следует производить в режиме «для изолированной сети» (опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server). Далее в примерах подразумевается инициализация именно в режиме «для изолированной сети». Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig (входит в пакет dnsutils), например:
nslookup <имя_домена>илиdig <имя_домена>- В имени домена нельзя использовать кириллицу;
- Выбранное доменное имя не должно обслуживаться другим контроллером домена. Это значит, что при первичной настройке службы FreeIPA будет проверено, существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена.
- Пароль администратора домена должен состоять не менее, чем из восьми символов.
Настройки сервера
Для нормальной работы служб FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;
Назначить этому компьютеру фиксированный IP-адрес, который впоследствии не должен изменяться;
В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);
Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. DHCP-сервер ISC-DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).
В качестве второго DNS можно ничего не указывать или указать внешний DNS (в случае установки пакетов из внешнего репозитория);
После внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf:
cat /etc/resolv.conf
В файле /etc/hostname должно содержаться полное доменное имя сервера (FQDN), например astraipa.astradomain.ad. Так как запрос к файлу /etc/hosts имеет приоритет перед обращением к DNS, файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Чтобы не было путаницы, рекомендуется оставить в файле /etc/hosts только запись "самого себя", <ip адрес> + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера.
Задать имя сервера можно выполнив команду:
Настроить сеть, разрешив загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6)
- Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.
Установка пакетов
Комплекты пакетов FreeIPA для сервера и клиентов входят в репозитории Astra Linux.Установить необходимые для установки сервера пакеты можно из Графический менеджер пакетов synaptic, или из командной строки:
Графический инструмент
sudo apt install fly-admin-freeipa-serverили инструмент командной строки:
sudo apt install astra-freeipa-server
В ходе установки будет выдано несколько предупреждений, просто нажать "ОК". После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
Установить необходимые для установки клиента пакеты можно с помощью графического менеджера пакетов или из командной строки. Команды для установки из командной строки:
графический инструмент
sudo apt install fly-admin-freeipa-clientили инструмент командной строки
sudo apt install astra-freeipa-client
На предупреждения, возникающие при установке, также нажать "ОК"
После установки графический инструмент fly-admin-freeipa-client будет доступен через меню:
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA примем следующие допущения:
создается собственный домен второго уровня с названием:
astradomain.ad
;имя будущего контроллера сервера:
имя в краткой форме:
astraipa
имя в полной форме (FQDN):
astraipa.astradomain.ad
При этом, в тестовом примере будет использован несуществующий домен astradomain.ad.
Быстрая настройка и запуск сервера
Быстрый запуск сервиса FreeIPA с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
«Домен» - имя домена, в используемом примере это будет astradomain.ad
«Имя компьютера» - имя компьютера определяется автоматически, в используемом примере заменим его на astraipa
«Пароль» - пароль для администратора домена. Введённый пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода данных запуск сервиса осуществляется нажатием кнопки «Создать»
В процессе запуска в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения запуск на нижней рамке окна инструмента появится web-ссылка для перехода в web-интерфейс FreeIPA. Теперь можно войти в web-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag
Для Astra Linux Common Edition и для Astra Linux Special Edition x.7
Для Astra Linux Special Edition x.7 требуется подключить базовый и расширенный репозитории. см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования а также FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
Для автоматической установки FreeIPA с одновременной установкой сервиса центра сертификации DogTag в интерфейсе графического инструмента fly-admin-freeipa-server нажмите кнопку "Показать расширенные опции" и отметьте пункт "Настроить центр сертификации":
Для Astra Linux Special Edition выпущенных до очередного обновления x.7
См. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.
Быстрый запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server
При правильно выполненных предварительных настройках запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлён простой командой:
При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server --help), например:
compname= astraipa
domain= astradomain.ad
будет использован ip address = 192.168.32.97 или укажите ip адрес ключем -ip
продолжать ? (y\n)
Для подтверждения введите «y» и нажмите Enter.
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена.
Введённый пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране.
В завершение, будут выданы сообщения о перезапуске различных системных служб:
Restarting Directory Service
...
ipa: INFO: The ipactl command was successful
Существует настроенный домен
host = astraipa.astradomain.ad
basedn = dc=astradomain,dc=ad
domain = astradomain.ad
xmlrpc_uri = https://astraipa.astradomain.ad/ipa/xml
WEB: https://astraipa.astradomain.ad
Эти сообщения говорят об успешном завершении процесса.
Теперь можно войти в web-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.
Установка с использованием центра сертификации DogTag
Для автоматической установки FreeIPA с одновременной автоматической установкой сервиса центра сертификации DogTag используйте опцию --dogtag, например:
Первый вход в web-интерфейс FreeIPA
После завершения процедур запуска для входа в web-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности web-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:
нажать кнопку «Дополнительно»
в открывшемся окне нажать кнопку «Добавить исключение»
в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в web-интерфейс используйте имя admin, и пароль, ранее введённый при запуске системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в web-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к web-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
- полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
ipa_memcached Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
- в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
- если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
- если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).
Для проверки ролей сервера можно использовать web-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например: