Product SiteDocumentation Site

Глава 64. FreeIPA

64.1. Установка сервера FreeIPA
64.2. Добавление новых пользователей домена
FreeIPA — это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag, состоит из веб-интерфейса и интерфейса командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.

Примечание

В данном разделе приведена краткая инструкция разворачивания FreeIPA. Подробную инструкцию можно найти по ссылке Доменная инфраструктура на базе FreeIPA.

64.1. Установка сервера FreeIPA

В качестве примера показана установка сервера FreeIPA со встроенным DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24. В примере для установки сервера используется узел: ipa.example.test (192.168.0.113).
Для корректной работы сервера должны соблюдаться следующие условия:
  • для сервера должно быть задано полное доменное имя (FQDN);
  • IP-адрес сервера не должен изменяться;
  • в настройках сетевого интерфейса должен быть указан собственный IP-адрес в качестве первичного DNS.
Во избежание конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080, а также отключить HTTPS в Apache2: 
# systemctl stop ahttpd
# a2dissite 000-default_https
# a2disport https
# systemctl condreload httpd2
Установить необходимые пакеты: 
# apt-get install freeipa-server freeipa-server-dns
Задать имя сервера: 
# hostnamectl set-hostname ipa.example.test
Запустить скрипт настройки сервера. В пакетном режиме: 
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --forwarder 8.8.8.8 --auto-reverse
Для пакетной установки необходимо указать следующие параметры:
  • -r REALM_NAME — имя области Kerberos для сервера FreeIPA;
  • -n DOMAIN_NAME — доменное имя;
  • -p DM_PASSWORD — пароль, который будет использоваться сервером каталогов для менеджера каталогов (DM);
  • -a ADMIN_PASSWORD — пароль пользователя admin, администратора FreeIPA;
  • -U — позволить процессу установки выбрать параметры по умолчанию, не запрашивая у пользователя информацию;
  • --hostname=HOST_NAME — полное DNS-имя этого сервера.
Чтобы установить сервер со встроенным DNS, должны также быть добавлены следующие параметры:
  • --setup-dns — создать зону DNS, если она еще не существует, и настроить DNS-сервер;
  • --forwarder или --no-forwarders — в зависимости от того, нужно ли настроить серверы пересылки DNS или нет;
  • --auto-reverse или --no-reverse — в зависимости от того, нужно ли настроить автоматическое обнаружение обратных зон DNS, которые должны быть созданы в FreeIPA DNS, или отключить автоматическое определение обратных зон.
Для запуска интерактивной установки следует выполнить команду: 
# ipa-server-install
На первый вопрос, нужно ли сконфигурировать DNS-сервер BIND, следует ответить утвердительно: 
Do you want to configure integrated DNS (BIND)? [no]: yes
Остальные вопросы можно выбрать по умолчанию (просто нажать Enter). При установке также потребуется ввести пароль администратора системы и пароль администратора каталогов (пароли должны быть не менее 8 символов).
Перед началом конфигуририрования система выведет информацию о конфигурации и попросит ее подтвердить: 
The IPA Master Server will be configured with:
Hostname:       ipa.example.test
IP address(es): 192.168.0.113, fd47:d11e:43c1:0:a00:27ff:fe3d:be24
Domain name:    example.test
Realm name:     EXAMPLE.TEST

The CA will be configured with:
Subject DN:   CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining:     self-signed

BIND DNS server will be configured to serve IPA domain with:
Forwarders:       192.168.0.1, 8.8.8.8
Forward policy:   only
Reverse zone(s):  0.168.192.in-addr.arpa., 0.0.0.0.1.c.3.4.e.1.1.d.7.4.d.f.ip6.arpa.

Continue to configure the system with these values? [no]: yes
Далее начнётся процесс конфигурации. После его завершения будет выведена подсказка со следующими шагами.
Для возможности управлять FreeIPA сервером из командной строки необходимо получить билет Kerberos: 
# kinit admin
Добавить в DNS запись о сервере времени: 
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 --srv-weight=100 --srv-port=123 --srv-target=ipa.example.test.
Веб-интерфейс доступен по адресу https://ipa.example.test/ipa/ui/.

Примечание

В случае сбоя установки сервера FreeIPA некоторые файлы конфигурации могут быть уже сконфигурированы. В этом случае дополнительные попытки установить сервер FreeIPA завершатся неудачно. Чтобы решить эту проблему, перед повторной попыткой запуска процесса установки, следует удалить частичную конфигурацию сервера FreeIPA: 
# ipa-server-install --uninstall
Если ошибки при установке сервера FreeIPA остаются, следует переустановить ОС. Одним из требований для установки сервера FreeIPA является чистая система без каких-либо настроек.