Глава 53. FreeIPA

⁠Глава 53. FreeIPA

FreeIPA — это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag, состоит из веб-интерфейса и интерфейса командной строки.

FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.

Примечание

В данном разделе приведена краткая инструкция разворачивания FreeIPA. Подробную инструкцию можно найти по ссылке Доменная инфраструктура на базе FreeIPA.

⁠53.1. Установка сервера FreeIPA

В качестве примера показана установка сервера FreeIPA со встроенным DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24. В примере для установки сервера используется узел: ipa.example.test (192.168.0.113).

Для корректной работы сервера должны соблюдаться следующие условия:

для сервера должно быть задано полное доменное имя (FQDN);
IP-адрес сервера не должен изменяться;
в настройках сетевого интерфейса должен быть указан собственный IP-адрес в качестве первичного DNS.

Сетевые настройки можно выполнить как в графическом интерфейсе, так и в консоли:

В Центре управления системой в разделе Сеть → Ethernet интерфейсы задать имя компьютера, указать в поле DNS-серверы IP-адрес машины и в поле Домены поиска — домен для поиска:
В консоли:
- задать имя компьютера:
  # hostnamectl set-hostname ipa.example.test
- указать собственный IP-адрес в качестве первичного DNS. Для этого создать файл /etc/net/ifaces/enp0s3/resolv.conf со следующим содержимым:
  nameserver 192.168.0.113 nameserver 8.8.8.8 search example.test
  где enp0s3 — имя интерфейса, 192.168.0.113 — IP-адрес сервера.
- обновить DNS адреса:
  # resolvconf -u

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.

Если настройка FreeIPA выполняется не сразу после установки ОС, во избежание конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080, а также отключить HTTPS в Apache2:

# systemctl stop ahttpd
# a2dissite 000-default_https
# a2disport https
# systemctl condreload httpd2

Установить необходимые пакеты:

# apt-get install freeipa-server freeipa-server-dns

или через компоненты:

# alteratorctl components install freeipa-server

Команда установки сервера FreeIPA, со встроенным DNS-сервером, автоматическим обнаружением обратных зон DNS и с настройкой сервера пересылок, в пакетном режиме:

# ipa-server-install -U --hostname=$(hostname) \
-r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 \
--setup-dns --forwarder 8.8.8.8 --auto-reverse

Для пакетной установки необходимо указать следующие параметры:

-r REALM_NAME — имя области Kerberos для сервера FreeIPA;
-n DOMAIN_NAME — доменное имя;
-p DM_PASSWORD — пароль, который будет использоваться сервером каталогов для менеджера каталогов (DM);
-a ADMIN_PASSWORD — пароль пользователя admin, администратора FreeIPA;
-U — позволить процессу установки выбрать параметры по умолчанию, не запрашивая у пользователя информацию;
--hostname=HOST_NAME — полное DNS-имя этого сервера.

Чтобы установить сервер со встроенным DNS, должны также быть добавлены следующие параметры:

--setup-dns — создать зону DNS, если она еще не существует, и настроить DNS-сервер;
--forwarder или --no-forwarders — в зависимости от того, нужно ли настроить серверы пересылки DNS или нет;
--auto-reverse или --no-reverse — в зависимости от того, нужно ли настроить автоматическое обнаружение обратных зон DNS, которые должны быть созданы в FreeIPA DNS, или отключить автоматическое определение обратных зон.

Для запуска интерактивной установки следует выполнить команду:

# ipa-server-install

На первый вопрос, нужно ли сконфигурировать DNS-сервер BIND, следует ответить утвердительно:

Do you want to configure integrated DNS (BIND)? [no]: yes

Остальные вопросы можно выбрать по умолчанию (просто нажать Enter). При установке также потребуется ввести пароль администратора системы и пароль администратора каталогов (пароли должны быть не менее 8 символов).

Перед началом конфигуририрования система выведет информацию о конфигурации и попросит ее подтвердить:

The IPA Master Server will be configured with:
Hostname: ipa.example.test
IP address(es): 192.168.0.113
Domain name: example.test
Realm name: EXAMPLE.TEST
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 8.8.8.8
Forward policy: only
Reverse zone(s): 0.168.192.in-addr.arpa.
Continue to configure the system with these values? [no]: yes

Далее начнётся процесс конфигурации. После его завершения будет выведена подсказка со следующими шагами.

Для возможности управлять FreeIPA сервером из командной строки необходимо получить билет Kerberos:

# kinit admin

Добавить в DNS запись о сервере времени:

# ipa dnsrecord-add example.test _ntp._udp \
--srv-priority=0 --srv-weight=100 --srv-port=123 \
--srv-target=ipa.example.test

Проверить работу NTP-сервера можно командой:

# ntpdate -q localhost
server 127.0.0.1, stratum 4, offset -0.000082, delay 0.02570
24 Mar 10:11:57 ntpdate[25874]: adjust time server 127.0.0.1 offset -0.000082 sec

Проверить наличие прямой и обратной зон можно, выполнив команды:

# ipa dnszone-show example.test
  Имя зоны: example.test.
  Активная зона: True
  Полномочный сервер имён: ipa.example.test.
…

# ipa dnszone-show 0.168.192.in-addr.arpa.
  Имя зоны: 0.168.192.in-addr.arpa.
  Активная зона: True
  Полномочный сервер имён: ipa.example.test.
…

Веб-интерфейс доступен по адресу https://ipa.example.test/ipa/ui/.

Примечание

В случае сбоя установки сервера FreeIPA некоторые файлы конфигурации могут быть уже сконфигурированы. В этом случае дополнительные попытки установить сервер FreeIPA завершатся неудачно. Чтобы решить эту проблему, перед повторной попыткой запуска процесса установки, следует удалить частичную конфигурацию сервера FreeIPA:

# ipa-server-install --uninstall

Если ошибки при установке сервера FreeIPA остаются, следует переустановить ОС. Одним из требований для установки сервера FreeIPA является чистая система без каких-либо настроек.