Astra linux common edition документация

Введение

FreeIPA (Free Identity, Policy and Audit) — открытый проект централизованной системы организации единого пространства пользователей (ЕПП), т.е. системы управления идентификацией и аутентификацией пользователей, политиками доступа и аудита. В состав FreeIPA входят:

• Служба каталогов 389 Directory Server;
• Служба аутентификации и единой точки входа MIT’s Kerberos;
• Службы BIND и DHCP для управления службой DNS в сети.
• Служба управления сертификатами DogTag (опционально);
• Интерфейс управления на основе Apache и Python;

FreeIPA также использует Samba для интеграции с Microsoft Active Directory и поддержки компьютеров на базе Microsoft Windows и Apple Macintosh.

Подготовка к запуску сервера

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы . Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.

Доменные имена серверов FreeIPA

• Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня. Это значит, что нежелательно использовать имена, состоящие из одного слова, например domain, testdomain, mydomian. Следует использовать имена уровня два и более, то есть имена вида:

Настройка серверов для FreeIPA

Для нормальной работы служб FreeIPA следует:

• Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;
• Назначить этому компьютеру фиксированный IP-адрес , который впоследствии не должен изменяться;
• В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);

Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. статью DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).

В файле /etc/hostname должно содержаться полное доменное имя (FQDN) сервера, например astraipa.astradomain.ad. Т ак как запросы к файлу /etc/hosts имеют приоритет перед обращением к DNS, файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Для предотвращения конфликтов с доменной службой DNS рекомендуется оставить в файле /etc/hosts только запись «самого себя», + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера.

Задать имя сервера можно выполнив команду:

Настроить сеть, разрешив загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6 )

Установка пакетов

Комплекты пакетов FreeIPA для сервера и клиентов входят в репозитории Astra Linux. Установить необходимые для установки сервера пакеты можно используя Графический менеджер пакетов synaptic , или из командной строки:

При работе в Astra Linux Common Edition при установке пакетов автоматически устанавливаются пакеты центра сертификации DogTag.

При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:

В ходе установки пакетов будет выдано несколько предупреждений, просто нажать «ОК». После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:

Описание тестового примера

Для дальнейшего описания настройки сервиса FreeIPA принимаются следующие допущения:

• создается собственный домен второго уровня с названием: astradomain.ad ;
• имя будущего контроллера сервера:
  • имя в краткой форме: astraipa
  • имя в полной форме (FQDN): astraipa.astradomain.ad

  Быстрая инициализация сервера

  Особенности быстрой инициализации

  В зависимости от используемой ОС по умолчанию приняты следующие параметры быстрой инициализации:

  • В Astra Linux Special Edition x.7 на уровнях защищенности Усиленный и Максимальный и в Astra Linux Special Edition более ранних обновлений по умолчанию быстрая инициализация выполняется без использования центра сертификации DogTag
  • В иных вариантах Astra Linux по умолчанию быстрая инициализация выполняется с использованием центра сертификации DogTag.

  Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server

  Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:

  • «Домен» — имя домена. В используемом примере это будет astradomain.ad;
  • «Имя компьютера» — имя компьютера. Определяется автоматически, в используемом примере заменим его на astraipa;
  • «Пароль» — пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA;

  После ввода данных инициализация сервера FreeIPA осуществляется нажатием кнопки «Создать».

  В процессе инициализации в соответствующем окне отображаются выполняющиеся операции.

  После успешного выполнения инициализации на нижней рамке окна инструмента появится web-ссылка для перехода в web-интерфейс FreeIPA, что позволяет войти в web-интерфейс FreeIPA и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.

  Инициализация с использованием центра сертификации DogTag

  При инициализации контроллера домена FreeIPA с использованием центра сертификации DogTag на платформах, отличных от платформы x86-64 рекомендуется перед началом инициализации создать переменную окружения PKISPAWN_STARTUP_TIMEOUT_SECOND и присвоить ей значение не менее 600. Подробнее см. Присвоение значений переменным окружения для пользовательских сессий.

  Для Astra Linux Common Edition и для Astra Linux Special Edition x.7

  Для инициализации FreeIPA с центром сертификации DogTag предварительно должны быть установлены необходимые пакеты. См. Установка пакетов.

  Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью графического инструмента fly-admin-freeipa-server:

  

  1. Запустить инструмент;
  2. Нажать кнопку «Показать расширенные опции»;
  3. Отметить пункт «Настроить центр сертификации»:

  Для Astra Linux Special Edition выпущенных до очередного обновления x.7

  Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server

  При правильно выполненных предварительных настройках и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлена командой:

  При этом инструмент сам определит все необходимые параметры. При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server —help), например:

  После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:

  compname= astraipa
  domain= astradomain.ad
  будет использован ip address = 192.168.32.97 или укажите ip адрес ключем -ip
  продолжать ? (y\n)

  Для подтверждения введите «y» и нажмите Enter.

  После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.

  После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем. Ход выполнения будет отображаться на экране. В завершение будут выданы сообщения о перезапуске различных системных служб:

  Restarting Directory Service
  .
  ipa: INFO: The ipactl command was successful
  Существует настроенный домен
  host = astraipa.astradomain.ad
  basedn = dc=astradomain,dc=ad
  domain = astradomain.ad
  xmlrpc_uri = https://astraipa.astradomain.ad/ipa/xml
  WEB: https://astraipa.astradomain.ad

  Эти сообщения говорят об успешном завершении процесса.

  Теперь можно войти в web-интерфейс FreeIPA по указанному в последней строке адресу, и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.

  Инициализация с использованием центра сертификации DogTag

  Для настройки FreeIPA с одновременной автоматической настройкой центра сертификации DogTag используйте опцию —dogtag, например:

  Инициализация без использования центра сертификации DogTag

  Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию —ssl, например:

  Первый вход в web-интерфейс FreeIPA

  После завершения процедур запуска для входа в web-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.

  В примерах, приведенных в настоящем документе, для обеспечения защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности web-сервера.
  Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:

  • нажать кнопку «Дополнительно»
  • в открывшемся окне нажать кнопку «Добавить исключение»
  • в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»

  и на экране браузера откроется WEB/-интерфейс FreeIPA.

  Для входа в web-интерфейс используйте имя администратора и пароль, ранее заданные при инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.

  В случае, если при входе в web-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к web-интерфейсу используются:

  • протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad );
  • полное доменное имя сервера FreeIPA ( например, неправильно: https://localhost или https://127.0.0.1 )

  Проверка запущенных служб и ролей FreeIPA

  Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:

  sudo ipactl status
  Directory Service: RUNNING
  krb5kdc Service: RUNNING
  kadmin Service: RUNNING
  named Service: RUNNING
  ipa_memcached Service: RUNNING
  httpd Service: RUNNING
  ipa-custodia Service: RUNNING
  ntpd Service: RUNNING
  pki-tomcatd Service: RUNNING
  ipa-otpd Service: RUNNING
  ipa-dnskeysyncd Service: RUNNING
  ipa: INFO: The ipactl command was successful

  В зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:

  • в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
  • если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
  • если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).

  Для проверки ролей сервера можно использовать web-интерфейс FreeIPA (путь Закладка «FreeIPA» => Пункт «Топология» => Пункт «Роли сервера»), например:

  

  Удаление и переустановка сервера FreeIPA

  Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:

  Источник

  При установке ОС

  При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

  1. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
  2. Включить блокировку консоли;
  3. Включить блокировку интерпретаторов;
  4. Включить межсетевой экран ufw;
  5. Включить системные ограничения ulimits;
  6. Отключить возможность трассировки ptrace;
  7. Запретить установку бита исполнения;
  8. Включить использование sudo с паролем;

  После установки ОС

  1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;

  После установки ОС сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:

  или использовать графическую конссоль fly-admin-smc. Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;

  или использовать графическую конссоль fly-admin-smc;

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

  Источник

  Читайте также:  Arch linux оконный менеджер