Главная » Linux

Домен freeipa astra linux

На чтение 7 мин Просмотров 1 Опубликовано
Содержание
  1. FreeIPA
  2. Требования
  3. Подготовка сервера FreeIPA
  4. Установка и инициализация контроллера домена
  5. Проверка
  6. Добавление узлов в DNS
  7. Условия для ввода клиентского компьютера в домен
  8. Ввод клиентского компьютера в домен
  9. Настройка разрешения имени КД с помощью службы DNS
  10. Установка пакетов
  11. Графический инструмент fly-admin-freeipa-client
  12. Инструмент командной строки astra-freeipa-client
  13. Ввод компьютера в домен
  14. Графический инструмент
  15. Командная строка
  16. Запуск FreeIPA в Astra Linux «Смоленск»
  17. Подготовка
  18. Установка и настройка FreeIPA server
  19. Установка и настройка FreeIPA client на Astra Linux «Смоленск»
  20. Настройка клиента на Windows-машине на примере Windows 7

FreeIPA

В данной статье приведены инструкции по установке и запуску базовой конфигурации контроллера домена на FreeIPA для обеспечения работы ПК СВ «Брест».

Требования

Подготовка сервера FreeIPA

  1. В файле /etc/hostname требуется указать имя хоста в формате FQDN, для этого:
  2. с помощью текстового редактора в файле /etc/hostname заменить имеющуюся запись на строку вида:
127.0.0.1 localhost.localdomain localhost .  #127.0.1.1
search nameserver 8.8.8.8 nameserver

Установка и инициализация контроллера домена

Если на сервере настроено два и более интерфейса, то в процессе инициализации будет предложено выбрать нужный, см. пример вывода команды ниже:

compname= dc1 domain= astra.lan Обнаружено несколько сетевых интерфейсов: # NIC IP Type 1 eth0 10.10.20.135 статический 2 eth1 10.10.30.157 динамический Выберите номер сетевого интерфейса:

Проверка

Проверка запущенных служб и ролей FreeIPA осуществляется следующей командой:

Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful

Добавление узлов в DNS

FreeIPA автоматически регистрирует DNS-записи для узлов, которые будут присоединяться к домену. Однако, в инфраструктуре могут существовать серверы, присоединение к домену которых не требуется, но обращение к которым по именам было бы удобным. В этом случае необходимо зарегистрировать их в сервисе DNS вручную . Для этого:

  1. Перейти по адресу https://. и выполнить вход под администратором домена domain-admin> :
  2. Перейти в меню Network Services — DNS — DNS Zones:
  3. Выбрать в списке зону domain>:
  4. Нажать кнопку + Add :

  • В открывшемся окне заполнить все поля и установить отметку для чекбокса Create reverse. Далее нажать кнопку Add:
  • Будет добавлено новое сопоставление имени и IP-адреса. В приведенном примере выше серверу ceph1 будет сопоставлен адрес 192.168.1.31 в доменной зоне brest.loc.
    Теперь любой узел в сети, настроенный на разрешение имен через DNS-сервер dc-1-ip >, сможет взаимодействовать с сервером ceph1 по доменному имени.

    • После выполнения инструкций вернитесь к предыдущей статье.

    Источник

    Условия для ввода клиентского компьютера в домен

    Для ввода клиентского компьютера (далее — клиент) в домен FreeIPA:

      к лиент и контроллер домена FreeIPA (далее — КД) должны находиться в одной широковещательной сети и иметь доступ друг к другу. Для проверки доступности можно использовать команду на клиенте и на КД:

    Ввод клиентского компьютера в домен

    До ввода клиентского компьютера в домен на клиентском компьютере должны быть настроены:

    • служба синхронизации времени. Показания системных часов клиента и КД должны совпадать. В качестве источника точного времени для клиента можно использовать КД. Подробнее про настройку служб времени см. Службы синхронизации времени в Astra Linux;
    • разрешение имени КД с помощью доменной службы DNS, т.е. в качестве IP-адреса сервера DNS (одного из серверов DNS) должен быть указан IP-адрес КД. Далее приведен пример настройки, подробную информацию см. в статье Настройка сетевых подключений в Astra Linux;
    • имя компьютера (имя, под которым он будет зарегистрирован в домене). Указать (изменить) имя компьютера можно выполнив на этом компьютере команду:

    При этом указывать полное доменное имя не обязательно, достаточно указать короткое имя, например, имя ws12345:

    При этом не допускаются строки связывающие имя компьютера с IP-адресами локальной петли, т.е. строки вида:

    Строка, определяющая локальный интерфейс локальной петли, является корректной и должна быть сохранена (используется зарезервированное имя localhost, а не заданное имя хоста):

    Настройка разрешения имени КД с помощью службы DNS

    1. При использовании службы NetworkManager:
      1. Использовать для настройки графический интерфейс службы NetworkManager. После внесения изменений — перезапустить настраиваемое сетевое подключение, чтобы изменения вступили в силу;
      2. Использовать инструменты командной строки NetworkManager (инструмент nmcli):
        1. Получить список сетевых подключений командой:

        По умолчанию в Astra Linux используется имя сетевого подключения «Проводное соединение 1» (далее используется в примерах). Пример вывода команды:

        NAME UUID TYPE DEVICE Проводное соединение 1 7cdd188d-875e-3b26-8b51-4a30b80cc37f ethernet eth0
        search ipadomain0.ru nameserver nameserver 77.88.8.8

        Установка пакетов

        При наличии подключенного репозитория пакетов все необходимые для установки пакеты можно установить командой apt или из графического менеджера пакетов synaptic (см. Графический менеджер пакетов synaptic). При установке инструментов Astra Linux все необходимые пакеты устанавливаются автоматически.

        Графический инструмент fly-admin-freeipa-client

        Графический инструмент для ввода в домен представлен в пакете fly-admin-freeipa-client. Для его установки можно использовать команду:

        Инструмент командной строки astra-freeipa-client

        Для установки инструмента командной строки можно использовать команду:

        Ввод компьютера в домен

        Графический инструмент

        После установки графический инструмент fly-admin-freeipa-client доступен для запуска из командной строки или через систему меню:

        «Пуск» — «Панель управления» — Сеть» — «Настройка FreeIPA клиент Fly»

        Для ввода компьютера в домен нужно:

        • Выполнить предварительную настройку DNS, как описано выше;
        • Запустить графический инструмент fly-admin-freeipa-client и в открывшемся окне ввести
          • Имя домена;
          • Имя администратора домена;
          • Пароль администратора домена;

          После ввода данных нажать кнопку «Подключиться»

          Командная строка

          Выполнить предварительную настройку DNS, как описано выше, после чего ввод компьютера в домен FreeIPA выполняется командой:

          в качестве имени домена будет автоматически использовано доменное имя сервера DNS.

          Или указать имя домена с помощью опции » -d » :

          При этом можно указать дополнительные опции:

          Источник

          Запуск FreeIPA в Astra Linux «Смоленск»

          Краткое руководство по запуску и первоначальной настройке централизованной системы по управлению идентификацией пользователей FreeIPA на ОС специального назначения Astra Linux Special Edition «Смоленск» на примере версии 1.6.

          Подготовка

          При установке «Смоленска» необходимо выбрать ядро hardened. Это касается как сервера, так и клиентских машин.

          Установка и настройка FreeIPA server

          Для начала необходимо установить пакет astra-freeipa-server

          # sudo apt install astra-freeipa-server

          Затем правим имя хоста. Для этого открываем файл /etc/hostname

          и впишем имя полное имя хоста:

          или можно это сделать так:

          # hostnamectl set-hostname dc.homenet.local

          Затем поправим файл /etc/hosts

          и впишем в него такие строки:

          127.0.0.1 localhost.localdomain localhost 127.0.1.1 dc.homenet.local dc

          Также нам необходимо открыть файл /etc/resolv.conf

          и прописать в нём такие строки:

          search homenet.local nameserver 192.168.1.1

          здесь nameserver будет такой же, как и IP-адрес сервера.

          Затем устанавливаем контроллер домена homenet.local

          # sudo astra-freeipa-server -d homenet.local -n dc ip 192.168.100.1 -o

          и идентифицируем администратора

          192.168.100.1 — это IP-адрес сервера на сетевом интерфейсе, который будет использоваться для работы в домене

          После этого перезагружаем машину

          Добавим пару пользователей, которые будут входить в домен. Например, user1 и user2. Вход проверим с клиентских машин.

          Для этого в адресной строке введём https://dc.homenet.local — необходимо ввести логин и пароль администратора домена, то есть учётную запись admin

          Попадаем в панель управления

          Добавим пользователей user1 и user2

          Установка и настройка FreeIPA client на Astra Linux «Смоленск»

          На клиентской машине необходимо установить пакет astra-freeipa-client

          # sudo apt install astra-freeipa-client

          Затем поправим файл /etc/hostname

          и впишем имя полное имя хоста:

          dc-client.homenet.local

          или можно это сделать так:

          # sudo hostnamectl set-hostname dc-client.homenet.local

          После этого поправим файл /etc/hosts

          и впишем в него такие строки:

          127.0.0.1 localhost 127.0.1.1 dc-client

          Также нам необходимо открыть файл /etc/resolv.conf

          и прописать в нём такие строки:

          192.168.100.1 — это IP-адрес сервера FreeIPA, он также будет использоваться как DNS-сервер

          всё остальное, что там есть, стираем.

          Далее подключаем машину к контроллеру домена homenet.local

          # sudo astra-freeipa-client -d homenet.local

          Готово! Теперь вводим пользователя, который был создан на сервере для работы в домене. Это user1 или user2. Если этот пользователь успешно входит в систему, значит всё настроено правильно. Также будет создан каталог в домашней директории /home для этого пользователя.

          Настройка клиента на Windows-машине на примере Windows 7

          Сначала перейдём на сервер и добавим там пользователя winuser

          Затем добавим узел win-client с IP-адресом 192.168.100.3

          Далее сгенерируем файл keytab

          # ipa-getkeytab -s dc.homenet.local -p host/win-client.homenet.local -e arcfour-hmac -k krb5.keytab.win-client.homenet.local -P

          После этого хост клиента будет учтён как зарегистрированный:

          Теперь переходим на клиентскую машину с Windows 7 в консоль cmd с правами администратора и последовательно вводим следующие команды:

          # ksetup /setdomain HOMENET.LOCAL # ksetup /addkdc HOMENET.LOCAL dc.homenet.local # ksetup /setcomputerpassword # keysetup /mapuser * *

          Далее через Управление компьютером добавим пользователя winuser:

          и перезагрузим Windows-машину

          После перезагрузки входим как winuser@HOMENET.LOCAL и вводим пароль, который был задан ранее:

          В свойствах системы можно будет увидеть соответствующие данные машины:

          Источник

          Читайте также:  Установка ubuntu linux рядом windows
    Оцените статью
    © 2023 Posetke
    Adblock
    detector