FreeIPA
Материал из ALT Linux Wiki
Строка 22: | Строка 22: | ||
Также доступен web-интерфейс по адресу: https://ipa.example.test/ | Также доступен web-интерфейс по адресу: https://ipa.example.test/ | ||
== Установка FreeIPA клиента и подключение к серверу == | == Установка FreeIPA клиента и подключение к серверу == | ||
+ | Установим необходимые пакеты: | ||
+ | <pre># apt-get install freeipa-client libsss_sudo sssd-ldap nss-utils ntp</pre> | ||
+ | Зададим имя компьютера: | ||
+ | <pre># hostnamectl set-hostname comp01.example.test</pre> | ||
+ | Добавим DNS сервер, для этого создадим файл {{path|/etc/net/ifaces/ens19/resolv.conf}} со следующим содержимым: | ||
+ | <pre>nameserver 192.168.135.1</pre> | ||
+ | 192.168.135.1 - IP-адрес нашего FreeIPA сервера.<br> | ||
+ | Укажем службе resolvconf использовать DNS FreeIPA и наш домен для поиска.<br> | ||
+ | Для этого в файл {{path|/etc/resolvconf.conf}} добавим/отредактируем следующие параметры: | ||
+ | <pre>interface_order='lo lo[0-9]* lo.* ens19' | ||
+ | search_domains=example.test</pre> | ||
+ | Где ens19 -интерфейс на котором доступен FreeIPA сервер, example.test - наш домен.<br> | ||
+ | Обновим DNS адреса: | ||
+ | <pre># resolvconf -u</pre> | ||
+ | После этого в файле {{path|/etc/resolv.conf}} должны появится строки: | ||
+ | <pre>search example.test | ||
+ | nameserver 192.168.135.1</pre> | ||
+ | Запускаем скрипт настройки клиента: | ||
+ | <pre># ipa-client-install</pre> | ||
+ | Если все настроено верно скрипт должен выдать такое сообщение: | ||
+ | <pre>'''Discovery was successful!''' | ||
+ | Client hostname: comp02.example.test | ||
+ | Realm: EXAMPLE.TEST | ||
+ | DNS Domain: example.test | ||
+ | IPA Server: ipa.example.test | ||
+ | BaseDN: dc=example,dc=test | ||
+ | Continue to configure the system with these values? [no]:</pre> | ||
+ | Отвечаем {{cmd|yes}} вводим имя пользователя, имеющего право вводить машины в домен, и его пароль.<br> | ||
+ | Для работы sudo-политик на клиентской машине необходимо разрешить доступ к sudo: | ||
+ | <pre># control sudo public</pre> |
Версия 14:41, 25 января 2017
FreeIPA - это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag. Оно состоит из web-интерфейса и интерфейса командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.
Установка FreeIPA сервера
Устанавливать будет со встроенным DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.135.0/24.
Установим необходимые пакеты:
# apt-get install freeipa-server freeipa-server-dns
Зададим имя сервера:
# hostnamectl set-hostname ipa.example.test
Запускаем скрипт настройки сервера:
# ipa-server-install
На вопрос Do you want to configure integrated DNS (BIND)? [no]: отвечаем yes, остальные вопросы выбираем по умолчанию. Так же при установки попросят ввести пароль администратора системы и пароль администратора каталогов.
После окончания установки настроим сервер времени, чтобы компьютеры в локальной сети могли к нему подключаться.
Для этого добавим в файл /etc/ntp.conf следующую строчку:
restrict 192.168.135.0 mask 255.255.255.0 nomodify
Перезапустим службу:
# systemctl restart ntpd
Для возможности управлять FreeIPA сервером из командной строки необходимо получить билет Kerberos:
# kinit admin
Добавим в DNS запись о нашем сервере времени:
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 --srv-weight=100 --srv-port=123 --srv-target=ipa.example.test.
Также доступен web-интерфейс по адресу: https://ipa.example.test/
Установка FreeIPA клиента и подключение к серверу
Установим необходимые пакеты:
# apt-get install freeipa-client libsss_sudo sssd-ldap nss-utils ntp
Зададим имя компьютера:
# hostnamectl set-hostname comp01.example.test
Добавим DNS сервер, для этого создадим файл /etc/net/ifaces/ens19/resolv.conf со следующим содержимым:
nameserver 192.168.135.1
192.168.135.1 - IP-адрес нашего FreeIPA сервера.
Укажем службе resolvconf использовать DNS FreeIPA и наш домен для поиска.
Для этого в файл /etc/resolvconf.conf добавим/отредактируем следующие параметры:
interface_order='lo lo[0-9]* lo.* ens19' search_domains=example.test
Где ens19 -интерфейс на котором доступен FreeIPA сервер, example.test - наш домен.
Обновим DNS адреса:
# resolvconf -u
После этого в файле /etc/resolv.conf должны появится строки:
search example.test nameserver 192.168.135.1
Запускаем скрипт настройки клиента:
# ipa-client-install
Если все настроено верно скрипт должен выдать такое сообщение:
'''Discovery was successful!''' Client hostname: comp02.example.test Realm: EXAMPLE.TEST DNS Domain: example.test IPA Server: ipa.example.test BaseDN: dc=example,dc=test Continue to configure the system with these values? [no]:
Отвечаем yes вводим имя пользователя, имеющего право вводить машины в домен, и его пароль.
Для работы sudo-политик на клиентской машине необходимо разрешить доступ к sudo:
# control sudo public