Введение

Подготовка к запуску сервера

Доменные имена серверов FreeIPA

• Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня. Это значит, что нежелательно использовать имена, состоящие из одного слова, например domain, testdomain, mydomian. Следует использовать имена уровня два и более, то есть имена вида:

  domain.net testdomain.test.lan mycompany.ru

  и т. д.

• В случаях, когда используется имя домена, не имеющее IP-адреса (например, при запуске в тестовых целях), инициализацию следует производить в режиме «для изолированной сети» (опция -o инструмента astra-freeipa-server или пункт «Изолированная сеть (без шлюза/DNS)» в меню «Расширенные опции» графического инструмента fly-admin-freeipa-server). Далее в примерах подразумевается инициализация именно в режиме «для изолированной сети». Проверить, имеет ли выбранный домен IP-адрес, можно из терминала командой nslookup или dig (входит в пакет dnsutils), например:
  

  nslookup <имя_домена>

  или

  dig <имя_домена>

  
  

• В имени домена нельзя использовать кириллицу. 
  
  
• Выбранное доменное имя не должно обслуживаться другим контроллером домена. Это значит, что при первичной настройке службы FreeIPA будет проверено, существует ли уже в домене любой иной контроллер домена, и, если он будет обнаружен, настройка не будет выполнена.
  
  
• Пароль администратора домена должен состоять не менее, чем из восьми символов.

Настройка серверов для FreeIPA

Для нормальной работы служб FreeIPA следует:

• выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;

• назначить этому компьютеру фиксированный IP-адрес, который впоследствии не должен изменяться;

• в настройках сетевого интерфейса указать собственный IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);

  Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам домена) с помощью службы DHCP (см. статьи isc-dhcp-server и kea), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).

  
  

• в качестве второго DNS можно ничего не указывать или указать внешний DNS (может использоваться для доступа в Интернет, например, для установки пакетов из Интернет-репозиториев);

• после внесения изменений необходимо убедиться, что выполненные настройки DNS присутствуют в файле/etc/resolv.conf:

  cat /etc/resolv.conf

  
  
  

Вручную задать имя сервера можно выполнив команду:

• Остальные настройки для быстрого запуска, инструменты Astra Linux выполняют самостоятельно.

Установка пакетов

Комплекты пакетов FreeIPA для сервера и клиентов входят в репозитории Astra Linux.Установить необходимые для установки сервера пакеты можно используя Графический менеджер пакетов synaptic, или из командной строки:

• графический инструмент:

  sudo apt install fly-admin-freeipa-server

  
  

• или инструмент командной строки:

  sudo apt install astra-freeipa-server

  
  

При работе в Astra Linux Common Edition при установке пакетов  автоматически устанавливаются пакеты центра сертификации DogTag.

При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:

• FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition x.7;
• FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.

В ходе установки пакетов будет выдано несколько предупреждений, которые можно игнорировать просто нажав "ОК". После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:

Описание тестового примера

Для дальнейшего описания настройки сервиса FreeIPA принимаются следующие допущения:

• создается собственный домен второго уровня с названием: astradomain.ad;

• имя будущего контроллера сервера:

  • имя в краткой форме: astraipa

  • имя в полной форме (FQDN): astraipa.astradomain.ad

Быстрая инициализация сервера

Особенности быстрой инициализации

Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server

Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:

После запуска на экране появляется форма для ввода данных, в которой нужно указать:

• «Домен» - имя домена. В используемом примере это будет astradomain.ad;

• «Имя компьютера» - имя компьютера. Определяется автоматически, в используемом примере заменим его на astraipa;

• «Пароль» - пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA;

После ввода данных инициализация сервера FreeIPA осуществляется нажатием кнопки «Создать».

В процессе инициализации в соответствующем окне отображаются выполняющиеся операции.

После успешного выполнения инициализации на нижней рамке окна инструмента появится web-ссылка для перехода в web-интерфейс FreeIPA, что позволяет войти в web-интерфейс FreeIPA и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.

Инициализация с использованием центра сертификации DogTag

Для Astra Linux Common Edition и для Astra Linux Special Edition x.7

Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью графического инструмента fly-admin-freeipa-server:

1. Запустить инструмент;
2. Нажать кнопку "Показать расширенные опции";
3. Отметить пункт "Настроить центр сертификации":
   

Для Astra Linux Special Edition выпущенных до очередного обновления x.7

См. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6.

Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server

При правильно выполненных предварительных настройках и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлена командой:

например:

После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:

После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA. 

После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем. Ход выполнения будет отображаться на экране. В завершение будут выданы сообщения о перезапуске различных системных служб:

Эти сообщения говорят об успешном завершении процесса.

Теперь можно войти в web-интерфейс FreeIPA по указанному в последней строке адресу, и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.

Инициализация с использованием центра сертификации DogTag

Для настройки FreeIPA с одновременной автоматической настройкой центра сертификации DogTag используйте опцию --dogtag, например:

Инициализация без использования центра сертификации DogTag

Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию --ssl, например:

Первый вход в web-интерфейс FreeIPA

После завершения процедур запуска для входа в web-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.

В примерах, приведенных в настоящем документе, для обеспечения защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности web-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:

• нажать кнопку «Дополнительно»

• в открывшемся окне нажать кнопку «Добавить исключение»

• в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»

и на экране браузера откроется WEB/-интерфейс FreeIPA.

Для входа в web-интерфейс используйте имя администратора и пароль, ранее заданные при инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.

В случае, если при входе в web-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к web-интерфейсу используются:

• протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad);
• полное доменное имя сервера FreeIPA (например, неправильно: https://localhost или https://127.0.0.1)

Проверка запущенных служб и ролей FreeIPA

Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:

В зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:

• в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
• если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
• если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).

Для проверки ролей сервера можно использовать web-интерфейс FreeIPA (путь Закладка "FreeIPA" => Пункт "Топология" => Пункт "Роли сервера"), например:

Удаление и переустановка сервера FreeIPA

Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:

Для переустановки сервера FreeIPA рекомендуется использовать переустановленную ("чистую") ОС.