Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Подготовка к установке сервера

ВАЖНО!
Сервис FreeIPA крайне чувствителен к правильным настройкам компьютера.
Даже при запуске сервиса в тестовом режиме следует придерживаться приведённых ниже правил.

Сервер

Для нормальной работы сервиса FreeIPA эксплуатации следует:

  • Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер
  • Назначить этому компьютеру фиксированный IP-адрес, который, впоследствии, не должен изменяться

Доменное имя

  • Доменное имя не должно быть именем первого уровня.

Это значит, что нежелательно использовать имена доменов, состоящие из одного слова, например domain, testdomain, mydonan.
Следует использовать имена уровней два и более, то есть имена вида:

domain.net
testdomain.test.lan
mycompany.ru
и т. д.

  • В случаях, если при запуске службы FreeIPA используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях),
    запуск службы следует производить в режиме «для изолированной сети»
    (опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server).
    Далее в примерах подразумевается запуск именно сервиса в режиме «для изолированной сети».
    Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup, например:
nslookup mydomain.net
  • В имени домена нельзя использовать кириллицу.

  • Выбранное доменное имя не должно обслуживаться другим контроллером домена.
    Это значит, что при первичной настройке службы FreeIPA будет проверено,
    существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, то настройка не будет выполнена.
  • Пароль администратора домена должен состоять не менее, чем из восьми символов.

Остальные настройки для быстрого запуска инструменты Astra Linux выполняют самостоятельно.

Установка пакетов

Комплекты пакетов FreeIPA для сервера и клиентов входят в стандартный репозиторий ОСОН Орёл.

Для установки серверной части достаточно установить пакет astra-freeipa-server, при этом все остальные необходимые пакеты будут установлены автоматически.
Сделать это можно из графического установщика или из командной строки:

apt install astra-freeipa-server

В ходе установки будет выдано несколько предупреждений, просто нажать "ОК".

Для установки клиентской части части достаточно установить пакет astra-freeipa-client, при этом все остальные пакеты будут установлены автоматически.
Сделать это можно так же графического установщика или из командной строки:

apt install astra-freeipa-client

На предупреждения, возникающие при установке, также нажать "ОК"

Описание тестового примера

Для дальнейшего описания настройки сервиса FreeIPA примем следующие допущения:

  • мы хотим создать собственный домен второго с названием: astradomain.ad;

  • имя будущего контроллера сервера:

    • имя в краткой форме: astraipa

    • имя в полной форме: astraipa astradomain.ad

При этом, в тестовом примере будет использован несуществующий домен astradomain.ad

Быстрая настройка и запуск сервера

Быстрый запуск сервиса FreeIPA с помощью графического инструмента fly-admin-freeipa-server

Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:

fly-admin-freeipa-server

После запуска на экране появляется форма для ввода данных, в которой нужно указать:

  • «Домен» - имя домена, в используемом примере это будет astradomain.ad

  • «Имя компьютера» - имя компьютера определяется автоматически, в используемом примере заменим его на astraipa

  • «Пароль» - пароль для администратора домена. Введённый пароль понадобится в дальнейшем для входа в WEB-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.

После ввода данных запуск сервиса осуществляется нажатием кнопки «Создать»

В процессе запуска в соответствующем окне отображаются выполняющиеся операции.

После успешного выполнения запуск на нижней рамке окна инструмента появится WEB-ссылка для перехода в WEB-интерфейс FreeIPA.
Теперь можно войти в WEB-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEB-интерфейс и процедуры работы с ним описаны ниже.

Быстрый запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server

Запуск сервиса FreeIPA с помощью инструмента командной строки astra-freeipa-server осуществляется командой:

astra-freeipa-server -d astradomain.ad -n astraipa -o

После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:


compname= astraipa
domain= astradomain.ad
будет использован ip address = 192.168.32.97 или укажите ip адрес ключем -ip
продолжать ? (y\n)

Для подтверждения введите «y» и нажмите Enter.


После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена.

Введённый пароль понадобится в дальнейшем для входа в WEB-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.

После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем.
Ход выполнения будет отображаться на экране.

В завершение, будут выданы сообщения о перезапуске различных системных служб:


Restarting Directory Service
Restarting krb5kdc Service
Restarting kadmin Service
Restarting named Service
Restarting ipa_memcached Service
Restarting httpd Service
Restarting ipa-custodia Service
Restarting ipa-otpd Service
Restarting ipa-dnskeysyncd Service
Starting ntpd Service
ipa: INFO: The ipactl command was successful
Существует настроенный домен
host = astraipa.astradomain.ad
basedn = dc=astradomain,dc=ad
domain = astradomain.ad
xmlrpc_uri = https://astraipa.astradomain.ad/ipa/xml
WEB: https://astraipa.astradomain.ad

Эти сообщения говорят об успешном завершении процесса.

Теперь можно войти в WEB-интерфейс FreeIPA по указанному в последней строчке адресу, и продолжить настройку через него.
Первый вход в WEB-интерфейс и процедуры работы с ним описаны ниже.

Первый вход в WEB-интерфейс инструмента FreeIPA

После завершения процедур запуска для входа в WEB-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.

В примерах, приведенных в настоящем документе, для обеспечения зашиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности WEB-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:

  • нажать кнопку «Дополнительно»

  • в открывшемся окне нажать кнопку «Добавить исключение»

  • в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»

и на экране браузера откроется WEB/-интерфейс FreeIPA.

Для входа в WEB-интерфейс используйте имя admin, и пароль, ранее введённый при запуске системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.

В случае, если при входе в WEB-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к WEB-интерфейсу используется протокол HTTPS
(адресная строка в браузере должна начинаться с тега «https://», например: https://astraipa.astradomain.ad

Настройка компьютеров для клиентов

Для настройки клиентского компьютера администратора на компьютер достаточно установить:

  • Графический инструмент fly-admin-freeipa-client. Команды для установки и запуска из командной строки:

apt install fly-admin-freeipa-client
fly-admin-freeipa-client

  • Или инструмент командной строки astra-freeipa-client может быть установлен отдельно и независимо от графического инструмента. Команда для установки для из командной строки:
apt install astra-freeipa-client
astra-freeipa-client



  • Нет меток