Глава 4. Завершение установки
После завершения сценария установки следует обновить записи DNS следующим образом:
получить Kerberos-билет администратора FreeIPA:
# kinit admin
настроить делегирование DNS из родительского домена в домен DNS FreeIPA. Например, если DNS-домен FreeIPA — ipa.example.test, добавить запись NS (Name Server) для этой зоны в родительскую зону example.test;
добавить SRV-запись для NTP (это обеспечит автоматическую настройку времени для будущих реплик и клиентов):
# ipa dnsrecord-add example.test _ntp._udp \
--srv-priority=0 \
--srv-weight=100 \
--srv-port=123 \
--srv-target=ipa.example.test
проверить работу NTP-сервера можно командой:
# ntpdate -q localhost
server 127.0.0.1, stratum 4, offset -0.000460, delay 0.02570
14 Oct 15:34:01 ntpdate[2971]: adjust time server 127.0.0.1 offset -0.000460 sec
Убедиться, что сервер FreeIPA работает:
$ kinit admin
Password for admin@EXAMPLE.TEST:
$ klist
Ticket cache: KEYRING:persistent:1000:1000
Default principal: admin@EXAMPLE.TEST
Valid starting Expires Service principal
11.09.2025 14:35:36 12.09.2025 13:45:01 krbtgt/EXAMPLE.TEST@EXAMPLE.TEST
Проверить статус подсистем:
# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
Проверить наличие прямой и обратной зон можно, выполнив команды:
# ipa dnszone-show example.test
Имя зоны: example.test.
Активная зона: True
Полномочный сервер имён: ipa.example.test.
…
# ipa dnszone-show 0.168.192.in-addr.arpa.
Имя зоны: 0.168.192.in-addr.arpa.
Активная зона: True
Полномочный сервер имён: ipa.example.test.
…
Веб-интерфейс FreeIPA доступен по адресу https://<FQDN>/ipa/ui/, например, https://ipa.example.test/ipa/ui/:
