Содержание

Skip to end of metadata
Go to start of metadata

В статье описано незащищенное подключение к базе данных. Для защищённго подключения требуется доработка пакета.

Для настройки FreeIPA используется сторонний пакет, не входящий в Astra Linux: https://github.com/Turgon37/freeipa-plugin-dhcp

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
  • ОС ОН Орёл 2.12

Введение

При стандартной установке службы DHCP конфигурация этой службы хранится в локальном конфигурационном файле /etc/dhcp/dhcpd.conf. При наличии нескольких DHCP-серверов и сложной конфигурации сети удобнее хранить конфигурации служб централизованно, в единой базе данных. В качестве такой базы данных можно использовать службу каталогов FreeIPA. Далее описывается установка и настройка  службы DHCP для работы с конфигурациями, хранящимися в службе каталогов FreeIPA. Данные настройки могут применяться как для размещения службы DHCP непосредственно на сервере FreeIPA, так и для размещения на отдельном сервере.

Внимание! Это не динамическое обновление DNS!!! Настройку динамического обновления DNS см. Динамическое обновление DNS клиентских машин FreeIPA.
Для успешной настройки все операции разрешения имен должны выполняться через DNS-сервер контроллера домена, т.е. в файле /etc/resolv.conf должна быть только одна запись nameserver, указывающая IP-адрес контроллера домена.

Установка пакета DHCP-LDAP

Для работы с доменными службами нужен вариант пакета DHCP, собранный для работы с ldap.

Если ранее был установлен DHCP-сервер, то его необходимо удалить:

dpkg -s isc-dhcp-server && sudo apt purge isc-dhcp-server

И установить новый вариант сервера:

sudo apt install isc-dhcp-server-ldap

Если служба DHCP размещается на отдельном компьютере, то:

  1. Назначить этому компьютеру статический IP-адрес;
  2. Ввести компьютер в домен FreeIPA;

Настройка сервера FreeIPA

  1. Скачать пакет для регистрации службы (предварительно должен быть установлен пакет git):

    sudo apt install git
    git clone https://github.com/Turgon37/freeipa-plugin-dhcp.git

    Пакет будет сохранён в текущем каталоге в подкаталоге freeipa-plugin-dhcp.

  2. Исправить пакет, заменив в файле freeipa-plugin-dhcp/install.sh путь

    IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/

    на

    IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/

    Команда для замены:

    sed -i "s~IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/~IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/~" freeipa-plugin-dhcp/install.sh

  3. Выполнить установку:

    sudo freeipa-plugin-dhcp/install.sh

  4. Открыть WEB-интерфейс FreeIPA:

    firefox https://`hostname`

  5. В закладке "Сетевые службы"В закладке "Сетевые службы" выбрать службу DHCP;
    1. Выбрать пункт меню "Configuration";
      1. В Domain Name указать имя домена:

        ipadomain.ru
      2. В Domain Name Servers указать IP-адрес DNS-сервера:

        10.0.2.10
    2. Выбрать пункт меню Subnets;
      1. Добавить подсеть, например:

        10.0.2.0/24
      2. Перейти в форму добавленной подсети;

        1. В характеристиках подсети в поле "DHCP Statements" добавить опцию диапазон адресов, например:

          range 10.0.2.11 10.0.2.99
        2. В характеристиках подсети в поле "DHCP Options" добавить маршрутизатор сети, например:

          routers 10.0.2.1
    3. Выбрать пункт меню Servers;
      1. Выбрать компьютер из выпадающего списка (чтобы компьютер появился в этом списке он должен быть введён в домен) и нажать кнопку "Добавить";


Настройка сервера DHCP

  1. Выполнить настройку сетевых подключений сервиса (подробнее см.статью DHCP):
    1. В конфигурационном файле /etc/default/isc-dhcp-server указать сетевые интерфейсы, с которыми будет работать сервер:


      ...
      INTERFACESv4="eth0"
      #INTERFACESv6=""
  2. В конфигурационном файле /etc/dhcp/dhcpd.conf указать параметры подключения к службе каталогов:

    authoritative;
    # Имя и порт сервера LDAP
    ldap-server "ipaserver.ipadomain.ru";
    ldap-port 389;
    # Необязательные имя и пароль для подключения.
    #ldap-username "cn=Directory Manager";
    #ldap-password "12345678";
    # База поиска
    ldap-base-dn "dc=ipadomain,dc=ru";
    # Метод поиска параметров конфигурации: static - однократное считывание при запуске службы; dynamic - обновления данных при запросах;
    ldap-method dynamic;
    # (не обязательно) Журнал отладки
    ldap-debug-file "/var/log/dhcp-ldap-startup.log";

  3. Перезапустить службу DHCP. Лучше двумя командами stop-start, а не одной restart:

    sudo systemctl stop isc-dhcp-server
    sudo systemctl start isc-dhcp-server



  • No labels