Содержание

Skip to end of metadata
Go to start of metadata

В статье описано незащищенное подключение к базе данных. Для защищённго подключения требуется доработка пакета.

Для настройки FreeIPA используется сторонний пакет, не входящий в Astra Linux: https://github.com/Turgon37/freeipa-plugin-dhcp

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
  • ОС ОН Орёл 2.12

Введение

При стандартной установке службы DHCP конфигурация этой службы хранится в локальном конфигурационном файле /etc/dhcp/dhcpd.conf. При наличии нескольких DHCP-серверов и сложной конфигурации сети удобнее хранить конфигурации служб централизованно, в единой базе данных. В качестве такой базы данных можно использовать службу каталогов FreeIPA. Далее описывается установка и настройка  службы DHCP для работы с конфигурациями, хранящимися в службе каталогов FreeIPA. Данные настройки могут применяться как для размещения службы DHCP непосредственно на сервере FreeIPA, так и для размещения на отдельном сервере.

Внимание! Это не динамическое обновление DNS!!! Настройку динамического обновления DNS см. Динамическое обновление DNS клиентских машин FreeIPA.

Установка пакета DHCP-LDAP

Для работы с доменными службами нужен вариант пакета DHCP, собранный для работы с ldap.

Если ранее был установлен DHCP-сервер, то его необходимо удалить:

dpkg -s isc-dhcp-server && sudo apt purge isc-dhcp-server
И установить новый вариант сервера:
sudo apt install isc-dhcp-server-ldap
Если служба DHCP размещается на отдельном компьютере, то:

  1. Назначить этому компьютеру статический IP-адрес;
  2. Ввести компьютер в домен FreeIPA;

Настройка сервера FreeIPA

  1. Скачать пакет для регистрации службы (предварительно должен быть установлен пакет git):

    sudo apt install git
    git clone https://github.com/Turgon37/freeipa-plugin-dhcp.git
    Пакет будет сохранён в текущем каталоге в подкаталоге freeipa-plugin-dhcp.

  2. Исправить пакет, заменив в файле freeipa-plugin-dhcp/install.sh путь

    IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/

    на

    IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/

    Команда для замены:

    sed -i "s~IPALIB_DEST=/usr/lib/python2.7/site-packages/ipaserver/plugins/~IPALIB_DEST=/usr/lib/python2.7/dist-packages/ipaserver/plugins/~" freeipa-plugin-dhcp/install.sh

  3. Выполнить установку:

    sudo freeipa-plugin-dhcp/install.sh

  4. Открыть WEB-интерфейс FreeIPA;

  5. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню "Configuration";
    1. В Domain Name указать имя домена:

      ipadomain.ru
    2. В Domain Name Servers указать IP-адрес DNS-сервера:

      10.0.2.10
  6. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню Subnets;
    1. Добавить подсеть, например:

      10.0.2.0/24
    2. В "DHCP Statements" добавить диапазон адресов, например:

      range 10.0.2.10 10.0.299
  7. В закладке "Сетевые службы", выбрать службу DHCP и пункт меню Servers;
    1. Выбрать компьютер из выпадающего списка (чтобы компьютер появился в этом списке он должен быть введён в домен) и нажать кнопку "Добавить";


Настройка сервера DHCP

  1. Выполнить общие настройки сервиса (подробнее см.статью DHCP):
    1. В конфигурационном файле /etc/default/isc-dhcp-server указать сетевые интерфейсы, с которыми будет работать сервер.
    2. В конфигурационном файле /etc/dhcp/dhcpd.conf включить (раскомментировать) параметр authoritative;

  2. В конфигурационном файле /etc/dhcp/dhcpd.conf указать параметры подключения к службе каталогов:

    authoritative;
    # Имя и порт сервера LDAP
    ldap-server "ipaserver.ipadomain.ru";
    ldap-port 389;
    # Необязательные имя и пароль для подключения.
    #ldap-username "cn=Directory Manager";
    #ldap-password "q2w2e2r2";
    # База поиска
    ldap-base-dn "dc=ipadomain,dc=ru";
    # Метод поиска параметров конфигурации: static - однократное считывание при запуске службы; dynamic - обновления данных при запросах;
    ldap-method dynamic;
    # (не обязательно) Журнал отладки
    ldap-debug-file "/var/log/dhcp-ldap-startup.log";

  3. Перезапустить службу DHCP. Лучше двумя командами stop-start, а не одной restart:

    sudo systemctl stop isc-dhcp-server
    sudo systemctl start isc-dhcp-server



  • No labels