Product SiteDocumentation Site

Доменная инфраструктура на базе FreeIPA

Руководство пользователя

Редакция сентябрь, 2023

Аннотация

FreeIPA — это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag. Оно состоит из веб-интерфейса и интерфейса командной строки. FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Разворачивание FreeIPA
1. Подготовка системы к установке сервера FreeIPA
1.1. Системные требования к серверу FreeIPA
1.1.1. RAM
1.1.2. DNS
1.1.3. IPv6
1.2. Поддержка типов шифрования в FreeIPA
1.3. Синхронизация времени
1.4. Имя узла и требования к DNS
1.5. Требования к портам
1.6. Подготовка сервера
1.7. Установка пакетов
1.8. Параметры команд установки FreeIPA
2. Установка FreeIPA с интегрированным DNS, с интегрированным CA в качестве корневого CA
2.1. Интерактивная установка
2.2. В пакетном режиме
3. Установка сервера FreeIPA в режиме CA-less
3.1. Подготовка сертификатов для сервера FreeIPA
3.2. Экспорт сертификатов в правильные форматы
3.3. Установка CA-less IPA
4. Завершение установки
5. Отладочная информация
5.1. Удаление неудачной установки сервера FreeIPA
6. Удаление сервера FreeIPA
II. Доступ к службам FreeIPA
7. Интерфейс командной строки FreeIPA
8. Веб-интерфейс FreeIPA
8.1. Доступ к веб-интерфейсу
8.2. Использование билета Kerberos
8.2.1. Настройка браузера для аутентификациию с Kerberos
8.3. Использование одноразового пароля
9. Журналирование FreeIPA
9.1. Файлы журналов сервера и клиента FreeIPA
9.2. Файлы журналов сервера каталогов (Directory Service)
9.3. Файлы журналов сервера Apache
9.4. Файлы журналов системы сертификатов FreeIPA
9.5. Файлы журналов Kerberos
9.6. Файлы журналов DNS
III. Настройка репликации
10. Системные требования
11. Системные требования
11.1. Установка реплики на существующем клиенте FreeIPA
11.2. Установка реплики в системе, не зарегистрированной в домене FreeIPA
12. Параметры утилиты ipa-replica-install
13. Установка реплики
13.1. Установка реплики на существующем клиенте FreeIPA, с использованием Host Keytab
13.2. Установка реплики с использованием случайного пароля
13.3. Установка реплики с использованием учётных данных привилегированного пользователя
13.4. С интегрированным DNS и без CA
13.5. С интегрированными DNS и CA в системе, не зарегистрированной в домене FreeIPA
13.6. Проверка реплики
14. Отладочная информация
15. Удаление реплики
IV. Разворачивание клиента FreeIPA
16. Подготовка системы к установке клиента FreeIPA
17. Установка пакетов
18. Подключение к серверу
18.1. Интерактивная установка
18.1.1. С использованием одноразового пароля
18.2. В пакетном режиме
18.3. В Центре управления системой
19. Проверка клиента FreeIPA
20. Отладочная информация
21. Повторная регистрация клиента FreeIPA
21.1. В интерактивном режиме
21.2. В пакетном режиме, с использованием keytab клиентской системы
22. Удаление клиента FreeIPA
V. Ansible
23. Предварительные настройки
23.1. Узел управления
23.2. Управляемые узлы
23.3. Роли ansible
24. Установка FreeIPA сервера с помощью Ansible
24.1. Установка FreeIPA с интегрированным DNS, с интегрированным CA в качестве корневого CA
24.2. Установка FreeIPA с внешним DNS, с интегрированным CA в качестве корневого CA
24.3. Удаление сервера FreeIPA
25. Установка FreeIPA клиентов с помощью Ansible
25.1. Настройка параметров в inventory-файле
25.2. Playbook
25.3. Развертывание клиентов FreeIPA
25.4. Удаление клиента FreeIPA
VI. Интеграция с AD
26. Настройка DNS
26.1. Настройка зоны перенаправления DNS на сервере FreeIPA
26.2. Настройка переадресации DNS в AD
26.2.1. Samba DC
26.2.2. Windows Server с AD
26.3. Проверка конфигурации DNS
26.3.1. На сервере FreeIPA
26.3.2. На сервере AD
27. Подготовка сервера FreeIPA к доверию
28. Настройка доверия
28.1. В командной строке
28.2. В веб-интерфейсе
28.3. Проверка конфигурации Kerberos
28.4. Проверка конфигурации доверия в FreeIPA
28.5. Проверка конфигурации доверия в AD
28.6. Проверка пользователей доверенного домена
29. Удаление доверия
29.1. В командной строке
29.2. В веб-интерфейсе
29.3. Удаление диапазона ID после удаления доверия к AD
VII. Конфигурирование FreeIPA
30. Управление пользователями
30.1. Управление пользователями в командной строке
30.2. Управление пользователями в веб-интерфейсе
30.2.1. Добавление нового пользователя
30.2.2. Активация неподтверждённого пользователя
30.2.3. Отключение/Включение учётной записи пользователя
30.2.4. Сохранение учётной записи
30.2.5. Восстановление учётной записи
30.2.6. Удаление учётной записи
31. Двухфакторная аутентификация
31.1. Методы аутентификации
31.2. Разрешения (Permissions)
31.3. Управление функциями
31.3.1. Веб-интерфейс
31.3.2. Командная строка
31.4. Пример настройки двухфакторной аутентификации
31.4.1. Командная строка
31.4.2. Веб-интерфейс
31.5. Аутентификация
32. Примечания
32.1. Настройка беспарольного доступа по ssh
32.2. Центр управления системой