Product SiteDocumentation Site

Глава 2. Установка FreeIPA с интегрированным DNS, с интегрированным CA в качестве корневого CA

2.1. Интерактивная установка
2.2. Установка в пакетном (неинтерактивном) режиме
Преимущества установки сервера FreeIPA со встроенным DNS:
  • можно автоматизировать большую часть обслуживания и управления записями DNS, используя инструменты FreeIPA. Например, SRV-записи создаются во время установки, а затем автоматически обновляются;
  • можно обеспечить стабильное подключение к глобальному Интернету, настроив глобальные DNS-серверы пересылки во время установки. Это особенно полезно при настройке доверительных отношений с Active Directory;
  • можно настроить обратные DNS-зоны, чтобы письма отправляемые из домена FreeIPA, не помечались как спам внешними почтовыми серверами.
Ограничения установки сервера FreeIPA со встроенным DNS:
  • FreeIPA DNS не предназначен для использования в качестве общедоступного DNS-сервера. Некоторые расширенные функции DNS не поддерживаются.

Примечание

Если при запуске ipa-server-install не указаны параметры, связанные с центром сертификации (например, --external-ca или --ca-less), сервер FreeIPA устанавливается с встроенным центром сертификации (CA).

2.1. Интерактивная установка

Для запуска интерактивной установки необходимо выполнить команду: 
# ipa-server-install

The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
Version 4.12.4

This includes:
  * Configure a stand-alone CA (dogtag) for certificate management
  * Configure the NTP client (CHRONY)
  * Create and configure an instance of Directory Server
  * Create and configure a Kerberos Key Distribution Center (KDC)
  * Configure Apache (httpd)
  * Configure SID generation
  * Configure the KDC to enable PKINIT

To accept the default shown in brackets, press the Enter key.
На вопрос о настройке встроенного DNS-сервера следует ответить утвердительно: 
Do you want to configure integrated DNS (BIND)? [no]: yes

Примечание

Чтобы принять значение по умолчанию, необходимо нажать Enter.
Далее нужно указать имя узла, на котором будет установлен сервер FreeIPA, доменное имя и Kerberos-область: 
Server host name [ipa.example.test]:
Please confirm the domain name [example.test]:
Please provide a realm name [EXAMPLE.TEST]:

Важно

Эти значения нельзя изменить после завершения установки.
Задать пароль для Directory Manager (cn=Directory Manager): 
Directory Manager password:
Password (confirm):
Задать пароль для администратора FreeIPA (будет создана учетная запись admin с правами администратора): 
IPA admin password:
Password (confirm):

Предупреждение

Пароли должны быть не менее 8 символов.
Для настройки DNS-пересылки на первый запрос, нужно ли настроить перенаправления, следует ответить утвердительно: 
Do you want to configure DNS forwarders? [yes]: yes
Система предложит использовать DNS-серверы из настроек сети (если они прописаны) — если это устроит, можно оставить значение по умолчанию: 
Following DNS servers are configured in /etc/resolv.conf: 192.168.0.1
Do you want to configure these servers as DNS forwarders? [yes]:
При необходимости можно добавить дополнительные серверы: 
All detected DNS servers were added. You can enter additional addresses now:
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
DNS forwarder 8.8.8.8 added. You may add another.
Enter an IP address for a DNS forwarder, or press Enter to skip:
DNS forwarders: 192.168.0.1, 8.8.8.8
Checking DNS forwarders, please wait ...

Примечание

Этот шаг необходим в том случае, если предполагается использовать внешние DNS-серверы для разрешения имён за пределами домена FreeIPA.
Для попыток найти обратные зоны можно оставить значения по умолчанию: 
Do you want to search for missing reverse zones? [yes]:
Checking DNS domain 0.168.192.in-addr.arpa., please wait ...
Do you want to create reverse zone for IP 192.168.0.113 [yes]:
Please specify the reverse zone name [0.168.192.in-addr.arpa.]:
Checking DNS domain 0.168.192.in-addr.arpa., please wait ...
Using reverse zone(s) 0.168.192.in-addr.arpa.

Примечание

Управление обратными зонами через FreeIPA не обязательно — их можно настроить на внешнем DNS-сервере.
Далее можно указать имя NetBIOS: 
NetBIOS domain name [EXAMPLE]:
Указать, если это необходимо, NTP-сервер или пул серверов: 
Do you want to configure CHRONY with NTP server or pool address? [no]:
Перед завершением установщик выведет информацию о конфигурации и попросит ее подтвердить: 
The IPA Master Server will be configured with:
Hostname:       ipa.example.test
IP address(es): 192.168.0.113
Domain name:    example.test
Realm name:     EXAMPLE.TEST

The CA will be configured with:
Subject DN:   CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining:     self-signed

BIND DNS server will be configured to serve IPA domain with:
Forwarders:       192.168.0.1, 8.8.8.8
Forward policy:   only
Reverse zone(s):  0.168.192.in-addr.arpa.

Continue to configure the system with these values? [no]: yes
После успешной установки отобразится сообщение: 
==============================================================================
Setup complete

Next steps:
        1. You must make sure these network ports are open:
                TCP Ports:
                  * 80, 443: HTTP/HTTPS
                  * 389, 636: LDAP/LDAPS
                  * 88, 464: kerberos
                  * 53: bind
                UDP Ports:
                  * 88, 464: kerberos
                  * 53: bind
                  * 123: ntp

        2. You can now obtain a kerberos ticket using the command: 'kinit admin'
           This ticket will allow you to use the IPA tools (e.g., ipa user-add)
           and the web user interface.

Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful