- Введение
- Подготовка к запуску сервера
- Доменные имена серверов FreeIPA
- Настройка серверов для FreeIPA
- Установка пакетов
- Описание тестового примера
- Быстрая инициализация сервера
- Особенности быстрой инициализации
- Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server
- Инициализация с использованием центра сертификации DogTag
- Для Astra Linux Common Edition и для Astra Linux Special Edition x.7
- Для Astra Linux Special Edition выпущенных до очередного обновления x.7
- Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server
- Инициализация с использованием центра сертификации DogTag
- Инициализация без использования центра сертификации DogTag
- Первый вход в web-интерфейс FreeIPA
- Проверка запущенных служб и ролей FreeIPA
- Удаление и переустановка сервера FreeIPA
- При установке ОС
- После установки ОС
Введение
FreeIPA (Free Identity, Policy and Audit) — открытый проект централизованной системы организации единого пространства пользователей (ЕПП), т.е. системы управления идентификацией и аутентификацией пользователей, политиками доступа и аудита. В состав FreeIPA входят:
- Служба каталогов 389 Directory Server;
- Служба аутентификации и единой точки входа MIT’s Kerberos;
- Службы BIND и DHCP для управления службой DNS в сети.
- Служба управления сертификатами DogTag (опционально);
- Интерфейс управления на основе Apache и Python;
FreeIPA также использует Samba для интеграции с Microsoft Active Directory и поддержки компьютеров на базе Microsoft Windows и Apple Macintosh.
Подготовка к запуску сервера
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы . Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Доменные имена серверов FreeIPA
- Для серверов (реплик) FreeIPA не рекомендуется использовать доменные имена первого уровня. Это значит, что нежелательно использовать имена, состоящие из одного слова, например domain, testdomain, mydomian. Следует использовать имена уровня два и более, то есть имена вида:
Настройка серверов для FreeIPA
Для нормальной работы служб FreeIPA следует:
- Выделить для использования в качестве сервера FreeIPA отдельный (возможно, виртуальный) компьютер, на котором должно быть установлено не менее 2ГБ ОЗУ и не менее трех процессоров;
- Назначить этому компьютеру фиксированный IP-адрес , который впоследствии не должен изменяться;
- В настройках сетевого интерфейса указать IP-адрес компьютера в качестве первичного DNS (см. Настройка сетевых подключений в Astra Linux);
Если IP-адреса выдаются компьютерам (контроллерам домена или клиентам) с помощью службы DHCP (см. статью DHCP), то необходимо обеспечить сохранность настроек DNS, создаваемых при инициализации контроллера домена (вводе клиента в домен). Это можно сделать либо настройками службы DHCP (для клиентов), либо запретом получения параметров DNS от службы DHCP (для серверов).
В файле /etc/hostname должно содержаться полное доменное имя (FQDN) сервера, например astraipa.astradomain.ad. Т ак как запросы к файлу /etc/hosts имеют приоритет перед обращением к DNS, файл /etc/hosts не должен использоваться в качестве базы данных доменных имен других хостов. Для предотвращения конфликтов с доменной службой DNS рекомендуется оставить в файле /etc/hosts только запись «самого себя», + имя в формате FQDN + короткое имя. Данная запись добавляется автоматически во время установки FreeIPA сервера.
Задать имя сервера можно выполнив команду:
Настроить сеть, разрешив загрузку модулей протокола IPv6, при необходимости запретив их работу (см. IPv6: включение и выключение, выключение с сохранением стека IPv6 )
Установка пакетов
Комплекты пакетов FreeIPA для сервера и клиентов входят в репозитории Astra Linux. Установить необходимые для установки сервера пакеты можно используя Графический менеджер пакетов synaptic , или из командной строки:
При работе в Astra Linux Common Edition при установке пакетов автоматически устанавливаются пакеты центра сертификации DogTag.
При работе в Astra Linux Special Edition для работы с центром сертификации DogTag дополнительно требуется установить пакет dogtag-pki. Порядок установки см. в статьях:
В ходе установки пакетов будет выдано несколько предупреждений, просто нажать «ОК». После установки графический инструмент fly-admin-freeipa-server будет доступен через меню:
Описание тестового примера
Для дальнейшего описания настройки сервиса FreeIPA принимаются следующие допущения:
- создается собственный домен второго уровня с названием: astradomain.ad ;
- имя будущего контроллера сервера:
- имя в краткой форме: astraipa
- имя в полной форме (FQDN): astraipa.astradomain.ad
Быстрая инициализация сервера
Особенности быстрой инициализации
В зависимости от используемой ОС по умолчанию приняты следующие параметры быстрой инициализации:
- В Astra Linux Special Edition x.7 на уровнях защищенности Усиленный и Максимальный и в Astra Linux Special Edition более ранних обновлений по умолчанию быстрая инициализация выполняется без использования центра сертификации DogTag
- В иных вариантах Astra Linux по умолчанию быстрая инициализация выполняется с использованием центра сертификации DogTag.
Быстрая инициализация с помощью графического инструмента fly-admin-freeipa-server
Графический инструмент fly-admin-freeipa-server запускается из командной строки командой:
- «Домен» — имя домена. В используемом примере это будет astradomain.ad;
- «Имя компьютера» — имя компьютера. Определяется автоматически, в используемом примере заменим его на astraipa;
- «Пароль» — пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA;
После ввода данных инициализация сервера FreeIPA осуществляется нажатием кнопки «Создать».
В процессе инициализации в соответствующем окне отображаются выполняющиеся операции.
После успешного выполнения инициализации на нижней рамке окна инструмента появится web-ссылка для перехода в web-интерфейс FreeIPA, что позволяет войти в web-интерфейс FreeIPA и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
При инициализации контроллера домена FreeIPA с использованием центра сертификации DogTag на платформах, отличных от платформы x86-64 рекомендуется перед началом инициализации создать переменную окружения PKISPAWN_STARTUP_TIMEOUT_SECOND и присвоить ей значение не менее 600. Подробнее см. Присвоение значений переменным окружения для пользовательских сессий.
Для Astra Linux Common Edition и для Astra Linux Special Edition x.7
Для инициализации FreeIPA с центром сертификации DogTag предварительно должны быть установлены необходимые пакеты. См. Установка пакетов.
Для автоматической инициализации FreeIPA с подключением центра сертификации DogTag с помощью графического инструмента fly-admin-freeipa-server:
- Запустить инструмент;
- Нажать кнопку «Показать расширенные опции»;
- Отметить пункт «Настроить центр сертификации»:
Для Astra Linux Special Edition выпущенных до очередного обновления x.7
Быстрая инициализация с помощью инструмента командной строки astra-freeipa-server
При правильно выполненных предварительных настройках и установке пакетов инициализация сервера FreeIPA с помощью инструмента командной строки astra-freeipa-server может быть осуществлена командой:
При этом инструмент сам определит все необходимые параметры. При запуске инструмента также можно указать имя домена, имя компьютера и прочие параметры (подробнее см. подсказку astra-freeipa-server —help), например:
После ввода команды инструмент определит адрес компьютера, выведет на экран все исходные данные, и запросит подтверждение дальнейших действий:
compname= astraipa
domain= astradomain.ad
будет использован ip address = 192.168.32.97 или укажите ip адрес ключем -ip
продолжать ? (y\n)Для подтверждения введите «y» и нажмите Enter.
После подтверждения инструмент попросит ввести и подтвердить пароль для администратора домена. Введенный пароль понадобится в дальнейшем для входа в web-интерфейс FreeIPA, и для работы с инструментами командной строки FreeIPA.
После ввода пароля автоматически будет выполнен процесс инициализации входящих в FreeIPA подсистем. Ход выполнения будет отображаться на экране. В завершение будут выданы сообщения о перезапуске различных системных служб:
Restarting Directory Service
.
ipa: INFO: The ipactl command was successful
Существует настроенный домен
host = astraipa.astradomain.ad
basedn = dc=astradomain,dc=ad
domain = astradomain.ad
xmlrpc_uri = https://astraipa.astradomain.ad/ipa/xml
WEB: https://astraipa.astradomain.adЭти сообщения говорят об успешном завершении процесса.
Теперь можно войти в web-интерфейс FreeIPA по указанному в последней строке адресу, и продолжить настройку через него. Первый вход в web-интерфейс и процедуры работы с ним описаны ниже.
Инициализация с использованием центра сертификации DogTag
Для настройки FreeIPA с одновременной автоматической настройкой центра сертификации DogTag используйте опцию —dogtag, например:
Инициализация без использования центра сертификации DogTag
Для настройки FreeIPA без настройки центра сертификации DogTag используйте опцию —ssl, например:
Первый вход в web-интерфейс FreeIPA
После завершения процедур запуска для входа в web-интерфейс можно просто перейти по ссылке, предоставленной использованным инструментом.
В примерах, приведенных в настоящем документе, для обеспечения защиты подключения используются сертификаты автоматически создаваемого удостоверяющего центра, неизвестного системе безопасности web-сервера.
Поэтому, при первой попытке подключения на экране браузера, появится сообщение о том, что соединение не защищено. В такой ситуации следует:- нажать кнопку «Дополнительно»
- в открывшемся окне нажать кнопку «Добавить исключение»
- в открывшейся экранной форме нажать кнопку «Подтвердить исключение безопасности»
и на экране браузера откроется WEB/-интерфейс FreeIPA.
Для входа в web-интерфейс используйте имя администратора и пароль, ранее заданные при инициализации системы. Также, теперь с помощью программы astra-freeipa-client, к созданному сервису можно подключать другие машины.
В случае, если при входе в web-интерфейс открывается пустая страница — внимательно проверьте, что для подключения к web-интерфейсу используются:
- протокол HTTPS (адресная строка в браузере должна начинаться с тега «https://», например, правильно: https://astraipa.astradomain.ad );
- полное доменное имя сервера FreeIPA ( например, неправильно: https://localhost или https://127.0.0.1 )
Проверка запущенных служб и ролей FreeIPA
Для проверки состояния запущенных служб FreeIPA можно использовать инструмент командной строки ipactl. Состав служб зависит от конфигурации установки и от используемого обновления ОС. Например, для Astra Linux Common Edition типичный набор служб выглядит так:
sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
ipa_memcached Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successfulВ зависимости от используемого обновления операционной системы или выбранной при инициализации конфигурации сервера состав служб может изменяться. Например:
- в Astra Linux Special Edition очередное обновление x.7 вместо службы настройки времени ntpd используется служба chrony;
- если не используется служба DogTag (обычно в Astra Linux Special Edition), то в выводе команды нет информации о службе pki-tomcatd;
- если используются службы samba и winbind, то соответствующие строки добавляются в вывод (см. Samba + FreeIPA аутентификация пользователей Samba в Kerberos).
Для проверки ролей сервера можно использовать web-интерфейс FreeIPA (путь Закладка «FreeIPA» => Пункт «Топология» => Пункт «Роли сервера»), например:
Удаление и переустановка сервера FreeIPA
Для удаления сервера FreeIPA следует использовать инструмент astra-freeipa-server, учитывающий особенности настроек FreeIPA в Astra Linux. Команда для удаления:
При установке ОС
При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.
- Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
- Включить блокировку консоли;
- Включить блокировку интерпретаторов;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
- Запретить установку бита исполнения;
- Включить использование sudo с паролем;
После установки ОС
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
После установки ОС сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:
или использовать графическую конссоль fly-admin-smc. Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;
или использовать графическую конссоль fly-admin-smc;
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.