FreeIPA: различия между версиями
Перейти к навигации
Перейти к поиску
Admin (обсуждение | вклад) (Новая страница: « = Установка = <pre> hostnamectl set-hostname dc1.test.loc </pre>») |
Admin (обсуждение | вклад) |
||
| (не показано 12 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | = Установка = | + | = Установка FreeIPA = |
| + | |||
| + | '''Необходимо:''' | ||
| + | * фиксированный IP | ||
| + | * DNS сервера для форвардинга | ||
| + | * имя хоста в формате FQDN | ||
| + | * синхронизация времени с внешнего источника | ||
<pre> | <pre> | ||
| + | #=== настройка имени хоста | ||
| + | hostnamectl set-hostname dc1.test.local | ||
| + | |||
| + | #=== синхронизация времени | ||
| + | systemctl status chronyd | ||
| + | # если не установлено | ||
| + | dnf install chrony | ||
| + | systemctl enable chronyd | ||
| + | systemctl start chronyd | ||
| + | |||
| + | #=== установка | ||
| + | # включение модуля idm:DL1 (для старых ОС, где еще поддерживаются модули dnf) | ||
| + | # dnf module enable idm:DL1 | ||
| + | |||
| + | # установка пакетов FreeIPA | ||
| + | dnf install ipa-server ipa-server-dns | ||
| − | + | </pre> | |
| + | = Настройка первого контроллера домена = | ||
| + | |||
| + | <pre> | ||
| + | # визард настройки первого контроллера домена | ||
| + | ipa-server-install | ||
| + | |||
| + | # вопросы визарда и ответы по умолчанию приведены для информации | ||
| + | # при рабочей конфигурации у вас должны быть правильные ответы | ||
| + | # соответствующие подготовленной вами инфраструктуры DNS | ||
| + | #----------------------------------------------------------- | ||
| + | Do you want to configure integrated DNS (BIND)? [no]: Y | ||
| + | |||
| + | Server host name [dc1.test.local]: <enter> | ||
| + | |||
| + | Please confirm the domain name [test.local]: <enter> | ||
| + | Please provide a realm name [TEST.LOC]: <enter> | ||
| + | Directory Manager password: ****** | ||
| + | IPA admin password: ******* | ||
| + | |||
| + | Do you want to configure DNS forwarders? [yes]: <enter> | ||
| + | Following DNS servers are configured in /etc/resolv.conf: 192.168.122.1 | ||
| + | Do you want to configure these servers as DNS forwarders? [yes]: <enter> | ||
| + | All detected DNS servers were added. You can enter additional addresses now: | ||
| + | Enter an IP address for a DNS forwarder, or press Enter to skip: <enter> | ||
| + | |||
| + | Do you want to search for missing reverse zones? [yes]: <enter> | ||
| + | |||
| + | Only up to 15 uppercase ASCII letters, digits and dashes are allowed. | ||
| + | Example: EXAMPLE. | ||
| + | NetBIOS domain name [TEST]: <enter> | ||
| + | |||
| + | Do you want to configure chrony with NTP server or pool address? [no]: <enter> | ||
| + | |||
| + | The IPA Master Server will be configured with: | ||
| + | Hostname: dc1.test.loc | ||
| + | IP address(es): 192.168.122.185 | ||
| + | Domain name: test.loc | ||
| + | Realm name: TEST.LOC | ||
| + | |||
| + | The CA will be configured with: | ||
| + | Subject DN: CN=Certificate Authority,O=TEST.LOC | ||
| + | Subject base: O=TEST.LOC | ||
| + | Chaining: self-signed | ||
| + | |||
| + | BIND DNS server will be configured to serve IPA domain with: | ||
| + | Forwarders: 192.168.122.1 | ||
| + | Forward policy: only | ||
| + | Reverse zone(s): No reverse zone | ||
| + | |||
| + | Continue to configure the system with these values? [no]: yes | ||
| + | |||
| + | #----------------------------------------------------------- | ||
| + | |||
| + | # для второго контроллера домена запускается другой визард | ||
| + | ipa-replica-install | ||
| + | |||
| + | #=== настройка Firewall | ||
| + | firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent | ||
| + | firewall-cmd --reload | ||
| + | |||
| + | #=== проверка установки | ||
| + | kinit admin | ||
| + | |||
| + | #=== войдите в веб-интерфейс | ||
| + | # https://dc1.test.local | ||
| + | |||
| + | </pre> | ||
| + | |||
| + | = Подключение второго контроллера к домену = | ||
| + | |||
| + | <pre> | ||
| + | |||
| + | # установите клиента и подключите сервер к домену | ||
| + | dnf install freeipa-client | ||
| + | ipa-client-install | ||
| + | |||
| + | # получение токена реплики, выполняется на первом контроллере домена | ||
| + | ipa-getkeytab -s ipa.example.local -p host/replica.example.local -k /var/lib/ipa/replica-keytab | ||
| + | |||
| + | # визард настройки реплики домена (второго контроллера) | ||
| + | ipa-replica-install | ||
| + | </pre> | ||
| + | |||
| + | = Роли первого сервера = | ||
| + | |||
| + | * У FreeIP все реплики равнозначны и работают в режиме multi-master | ||
| + | * на первом контроллере есть две роли, которые не настраиваются на репликах | ||
| + | ** Центр сертификации '''CA''' | ||
| + | ** Основной DNS сервер | ||
| + | |||
| + | '''Перенос роли CA''' | ||
| + | <pre> | ||
| + | ipa-replica-manage domain-init-option --master <FQDN_старого_сервера> --replica <FQDN_работающей_реплики> | ||
| + | </pre> | ||
| + | |||
| + | '''Перенос роли DNS (если используется встроенный DNS)''' | ||
| + | <pre> | ||
| + | ipa-replica-manage dns-init-option --master <FQDN_старого_сервера> --replica <FQDN_работающей_реплики> | ||
| + | </pre> | ||
| + | |||
| + | '''Удаление неисправного сервера (Очистка)''' | ||
| + | <pre> | ||
| + | # чтобы рабочие реплики не пытались синхронизироваться с не рабочей репликой, ее необходимо удалить | ||
| + | ipa-replica-manage del --host <FQDN_неисправного_сервера> | ||
| + | </pre> | ||
| + | |||
| + | = Подключение хоста к домену = | ||
| + | |||
| + | По умолчанию, при включении хоста в домен, выключается chronyd и устанавливается ntpd. | ||
| + | |||
| + | '''Отключение автоматической замены chronyd на ntpd при подключении хоста к домену FreeIPA''' | ||
| + | <pre> | ||
| + | vi /etc/freeipa/client.conf | ||
| + | #------------------------------------------------ | ||
| + | ntpd_disable_ntp_sync=yes | ||
| + | #------------------------------------------------ | ||
</pre> | </pre> | ||
Текущая версия на 00:54, 13 ноября 2025
Установка FreeIPA
Необходимо:
- фиксированный IP
- DNS сервера для форвардинга
- имя хоста в формате FQDN
- синхронизация времени с внешнего источника
#=== настройка имени хоста hostnamectl set-hostname dc1.test.local #=== синхронизация времени systemctl status chronyd # если не установлено dnf install chrony systemctl enable chronyd systemctl start chronyd #=== установка # включение модуля idm:DL1 (для старых ОС, где еще поддерживаются модули dnf) # dnf module enable idm:DL1 # установка пакетов FreeIPA dnf install ipa-server ipa-server-dns
Настройка первого контроллера домена
# визард настройки первого контроллера домена
ipa-server-install
# вопросы визарда и ответы по умолчанию приведены для информации
# при рабочей конфигурации у вас должны быть правильные ответы
# соответствующие подготовленной вами инфраструктуры DNS
#-----------------------------------------------------------
Do you want to configure integrated DNS (BIND)? [no]: Y
Server host name [dc1.test.local]: <enter>
Please confirm the domain name [test.local]: <enter>
Please provide a realm name [TEST.LOC]: <enter>
Directory Manager password: ******
IPA admin password: *******
Do you want to configure DNS forwarders? [yes]: <enter>
Following DNS servers are configured in /etc/resolv.conf: 192.168.122.1
Do you want to configure these servers as DNS forwarders? [yes]: <enter>
All detected DNS servers were added. You can enter additional addresses now:
Enter an IP address for a DNS forwarder, or press Enter to skip: <enter>
Do you want to search for missing reverse zones? [yes]: <enter>
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.
NetBIOS domain name [TEST]: <enter>
Do you want to configure chrony with NTP server or pool address? [no]: <enter>
The IPA Master Server will be configured with:
Hostname: dc1.test.loc
IP address(es): 192.168.122.185
Domain name: test.loc
Realm name: TEST.LOC
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=TEST.LOC
Subject base: O=TEST.LOC
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 192.168.122.1
Forward policy: only
Reverse zone(s): No reverse zone
Continue to configure the system with these values? [no]: yes
#-----------------------------------------------------------
# для второго контроллера домена запускается другой визард
ipa-replica-install
#=== настройка Firewall
firewall-cmd --add-service={http,https,dns,ntp,freeipa-ldap,freeipa-ldaps} --permanent
firewall-cmd --reload
#=== проверка установки
kinit admin
#=== войдите в веб-интерфейс
# https://dc1.test.local
Подключение второго контроллера к домену
# установите клиента и подключите сервер к домену dnf install freeipa-client ipa-client-install # получение токена реплики, выполняется на первом контроллере домена ipa-getkeytab -s ipa.example.local -p host/replica.example.local -k /var/lib/ipa/replica-keytab # визард настройки реплики домена (второго контроллера) ipa-replica-install
Роли первого сервера
- У FreeIP все реплики равнозначны и работают в режиме multi-master
- на первом контроллере есть две роли, которые не настраиваются на репликах
- Центр сертификации CA
- Основной DNS сервер
Перенос роли CA
ipa-replica-manage domain-init-option --master <FQDN_старого_сервера> --replica <FQDN_работающей_реплики>
Перенос роли DNS (если используется встроенный DNS)
ipa-replica-manage dns-init-option --master <FQDN_старого_сервера> --replica <FQDN_работающей_реплики>
Удаление неисправного сервера (Очистка)
# чтобы рабочие реплики не пытались синхронизироваться с не рабочей репликой, ее необходимо удалить ipa-replica-manage del --host <FQDN_неисправного_сервера>
Подключение хоста к домену
По умолчанию, при включении хоста в домен, выключается chronyd и устанавливается ntpd.
Отключение автоматической замены chronyd на ntpd при подключении хоста к домену FreeIPA
vi /etc/freeipa/client.conf #------------------------------------------------ ntpd_disable_ntp_sync=yes #------------------------------------------------