Глава 12. Подключение к серверу

⁠Глава 12. Подключение к серверу

При настройке клиент регистрируется в домене FreeIPA и получает доступ к его службам.

Для установки клиента FreeIPA необходимо предоставить учётные данные, которые можно использовать для регистрации клиента. Доступны следующие методы аутентификации:

учётные данные привилегированного пользователя (по умолчанию);
одноразовый пароль (OTP);
таблица ключей (keytab) из предыдущей регистрации.

⁠12.1. Интерактивная установка

Запуск установки в интерактивном режиме:

# ipa-client-install --mkhomedir

Параметр --mkhomedir настраивает PAM на автоматическое создание домашнего каталога пользователя при первом входе, если он отсутствует.

Чтобы разрешить автоматическое обновление DNS-записей, можно добавить параметр --enable-dns-updates. Это особенно важно, если клиент использует динамический IP-адрес.

Важно

Автоматическое обновление DNS-записей возможно только если выполняется одно из следующих условий:

сервер FreeIPA использует встроенный DNS-сервер;
внешний DNS-сервер поддерживает обновления по GSS-TSIG.

Скрипт установки автоматически обнаружит необходимые параметры на сервере FreeIPA. Для подтверждения необходимо ввести yes:

This program will set up IPA client.
Version 4.12.4

Discovery was successful!
Do you want to configure CHRONY with NTP server or pool address? [no]:
Client hostname: comp08.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test

Continue to configure the system with these values? [no]: yes

Примечание

Для установки системы с другими значениями, следует отказаться от автоматической конфигурации (ввести no), а затем запустить команду ipa-client-install с нужными параметрами:

--hostname — полное доменное имя клиента;
--realm — имя Kerberos-области;
--domain — DNS-домен FreeIPA;
--server — FQDN сервера FreeIPA.

Далее будет запрошен пользователь с правами на регистрацию машин (например, admin):

User authorized to enroll computers: admin
Password for admin@EXAMPLE.TEST:

При успешной установке будет выведена информация:

Client configuration complete.
The ipa-client-install command was successful

⁠12.1.1. Установка с одноразовым паролем

На сервере FreeIPA добавить будущую клиентскую систему с генерацией пароля:

# ipa host-add comp03.example.test --random --ip-address=192.168.0.104
-----------------------------------
Добавлен узел "comp03.example.test"
-----------------------------------
  Имя узла: comp03.example.test
  Случайный пароль: 3SeOaJ5GyOxbPcLmF5wpFQH
  Пароль: True
  Таблица ключей: False
  Managed by: comp03.example.test

Примечание

Если имя клиента разрешается через DNS, параметр --ip-address можно не указывать.

Примечание

Одноразовый пароль автоматически удаляется после успешной регистрации и заменяется таблицей ключей.

На клиенте запустить установку, указав сгенерированный пароль в параметре --password:

# ipa-client-install --password='3SeOaJ5GyOxbPcLmF5wpFQH' \
  --mkhomedir

Примечание

Так как пароль часто содержит специальные символы, следует заключить его в одинарные кавычки.

Чтобы разрешить автоматическое обновление DNS-записей, можно добавить параметр --enable-dns-updates:

# ipa-client-install --password='3SeOaJ5GyOxbPcLmF5wpFQH' \
  --mkhomedir \
  --enable-dns-updates