3.9.19.2.3 Установка сервера IPA
Скачать документ Окружение
- Версия РЕД ОС: 8
- Конфигурация: Сервер минимальный
- Версия ПО: ipa-server-4.10.3-1
Вы можете подробнее ознакомиться с информацией по установке в РЕД ОС сервера IPA, просмотрев наши обучающие видео:
на RuTube — Установка и настройка FreeIPA в РЕД ОС;
в Яндекс.Дзен — Установка и настройка FreeIPA в РЕД ОС;
в VK Видео — Установка и настройка FreeIPA в РЕД ОС.
На наших каналах вы также сможете найти много другой полезной информации.
Подготовка сервера
Настройка синхронизации времени с помощью chronyd
Откройте файл конфигурации:
# nano /etc/chrony.conf
Если есть необходимость, то пропишите в файле сервера времени, перед стандартными серверами.
server ntp1.vniiftri.ru iburst server ntp2.vniiftri.ru iburst server ntp3.vniiftri.ru iburst server ntp4.vniiftri.ru iburstОтключите сервис:
# systemctl disable --now systemd-timesyncdУстановите часовой пояс:
# timedatectl set-timezone Europe/Moscow
Настройте сетевой адаптер
IP-адрес сервера никогда не должен изменяться. Сделайте его статическим в вашей сети.
Более подробное описание конфигурирования сетевого адаптера вы можете найти в статье «Настройка сетевого адаптера».
Назначьте имя серверу
Используйте полное доменное имя. Имя серверу можно назначить командой
# hostnamectl set-hostname server.redosipa.ru
Установите ipa-server
Установите IPA сервер:
# dnf install bind bind-dyndb-ldap ipa-server ipa-server-dns ipa-server-trust-ad python3-packaging
Для того чтобы при установке избежать появления ошибки "CA configuration failed", выполните следующие действия:
1. Убедитесь, что используется Java OpenJDK версии 8:
java -version
2. Если используется Java 11, то необходимо переключиться на 8-ую версию. Для этого выполните команды:
update-alternatives --config java update-alternatives --config jre_openjdk
в каждой выберите нужную версию, указав ее порядковый номер. После чего нажмите Enter.
3. Удалите пакет:
rpm -e java-17-openjdk-headless --nodeps
Удалите пакет Java OpenJDK версии 11:
rpm -e java-11-openjdk-headless --nodeps
Настройка сервера
Есть два варианта настройки, интерактивный и автоматический.
Невозможно изменить конфигурацию ЦС после создания домена, и невозможно перенести его из одной конфигурации в другую. Крайне важно, чтобы требования ЦС были рассмотрены до начала процесса установки.
Если каждая машина в домене будет клиентом IPA, добавьте адрес сервера IPA в конфигурацию DHCP.
Сценарий ipa-replica-install включает в себя утилиту ipa-replica-conncheck, которая проверяет статус требуемых портов. Вы также можете запускать ipa-replica-conncheck отдельно для устранения неполадок.
Основные параметры
-r REALM_NAME, --realm=REALM_NAME (REALM имя)
Имя области Kerberos для сервера IPA
-n DOMAIN_NAME, --domain=DOMAIN_NAME (доменное имя)
Ваше доменное имя DNS
-p DM_PASSWORD, --ds-password=DM_PASSWORD (DM пароль)
Пароль, который будет использоваться сервером каталогов для пользователя Менеджера каталогов
-P MASTER_PASSWORD,
--master-password=MASTER_PASSWORD (мастер паролей)
Главный пароль kerberos (обычно генерируемый автоматически)
-a ADMIN_PASSWORD,
--admin-password=ADMIN_PASSWORD (пароль администратора)
Пароль для пользователя admin IPA
--hostname=HOST_NAME (имя хоста)
Полное DNS-имя этого сервера. Если имя хоста не совпадает с именем системного хоста, системное имя хоста соответственно, будет обновляться, чтобы предотвратить сбои службы.
--ip-address=IP_ADDRESS (IP адрес)
IP-адрес этого сервера. Если этот адрес не соответствует адресу, который хост разрешает, и --setup-dns не выбран, установка завершится с ошибкой. Если имя хоста сервера не разрешимо, запись для имени хоста и IP_ADDRESS добавляется в / etc / hosts.
-N, --no-ntp (нет ntp)
Не настраивать NTP
--idstart=IDSTART
Начальный идентификатор пользователя и группы (по умолчанию случайный)
--idmax=IDMAX
Максимальный идентификатор пользователя и группы (по умолчанию: idstart + 199999). Если установлено равным нулю, будет использоваться значение по умолчанию.
--no_hbac_allow (не разрешать hbac)
Не устанавливайте правило allow_all (разрешить всё) HBAC. Это правило позволяет любому пользователю с любого хоста получать доступ к любой службе на любом другом хосте. Ожидается, что пользователи удалят это правило перед переходом на производство.
--no-ui-redirect (не перенаправлять ui)
Не следует автоматически перенаправлять веб-интерфейс,
--ssh-trust-dns (ssh доверить dns)
Настройте клиент OpenSSH для проверки записей DNS SSHFP,
--no-ssh (нет ssh)
Не настраивайте клиента OpenSSH,
--no-sshd (нет sshd)
Не настраивать сервер OpenSSH,
-d, --debug (отладить)
Включить ведение журнала отладки, когда требуется более подробный вывод,
-U, --unattended (без запроса)
Автоматическая установка, которая никогда не будет запрашивать,
для ввода пользователем.
Параметры системы сертификата
--external-ca
Генерировать CSR, который должен быть подписан внешним CA
--external_cert_file=ФАЙЛ
Файл, содержащий сертификат PKCS # 10
--external_ca_file= ФАЙЛ
Файл, содержащий PKCS # 10 внешней CA-цепи
--dirsrv_pkcs12= ФАЙЛ
Файл PKCS # 12, содержащий сертификат SSL сервера каталогов
--http_pkcs12= ФАЙЛ
Файл PKCS # 12, содержащий сертификат SSL Apache Server
--dirsrv_pin=DIRSRV_PIN
Пароль файла PKCS # 12 сервера каталогов
--http_pin=HTTP_PIN
Пароль файла Apache Server PKCS # 12
--subject=ПРЕДМЕТ
База данных сертификата (по умолчанию O = REALM.NAME)
--selfsign
Настройте самозаверяющий экземпляр CA для выдачи сертификатов сервера вместо использования dogtag для сертификатов.
ПРЕДУПРЕЖДЕНИЕ. Использование этой опции ограничивает возможности управления сертификатами сервера. Пожалуйста, имейте в виду, что этот способ не меняется.
Опции (выбор) DNS
--setup-dns (настройка DNS)
Создайте зону DNS, если она еще не существует, и настройте DNS-сервер. Эта опция требует, чтобы вы либо указали по крайней мере один переадресатор DNS через параметр --forwarder, либо использовали параметр --no-forwarders.
Обратите внимание, что вы можете настроить DNS в любое время после установки первого сервера IPA, выполнив ipa-dns-install.
--forwarder=IP_ADDRESS (IP адрес)
Добавьте DNS-переадресацию в конфигурацию DNS. Вы можете использовать эту опцию несколько раз, чтобы указать больше пересылок, но по крайней мере один должен быть предоставлен, если не указана опция --no-forwarders.
--no-forwarders
Не добавляйте DNS-пересылок. Вместо этого будут использоваться корневые DNS-серверы.
--reverse-zone=REVERSE_ZONE (обратная зона)
Зона обратного использования DNS
--no-reverse (без обратной зоны)
Не создавать обратную зону DNS
--zonemgr (зона mgr)
Адрес электронной почты менеджера зоны DNS. По умолчанию hostmaster @ DOMAIN
--no-persistent-search (нет постоянного поиска)
Не включать механизм постоянного поиска для обновления списка зон DNS на сервере имен. Если постоянный поиск отключен, а параметр -zone-refresh не установлен на ненулевом значении, новые зоны не будут запускаться, пока сервер имен не будет перезагружен.
--zone-refresh=ZONE_REFRESH (зона обновления)
Если установлено ненулевое значение, механизм обновления постоянной зоны поиска будет отключен, а сервер имен будет использовать механизм опроса для загрузки новых зон DNS каждые секунды ZONE_REFRESH.
--no-host-dns (нет хоста DNS)
Не используйте DNS для поиска имени хоста во время установки
--no-dns-sshfp (нет DNS sshfp)
Нельзя автоматически создавать записи DNS SSHFP.
--no-serial-autoincrement (нет последовательного автоматического увеличения)
Не включайте функцию автоматического автообновления SOA. Последовательность SOA должна быть обновлена автоматически или другие функции DNS, такие как передача зоны, DNSSEC не будут работать должным образом. Для этой функции требуется постоянный механизм обновления зоны поиска.
Параметры удаления
--uninstall (удаление, деинсталяция)
Удалите существующую установку IPA
-U, --unattended (без сопровождения)
Автоматическая деинсталляция, которая никогда не будет
приглашение для ввода пользователем
Статус выхода
0, если установка (un) прошла успешно
1, если произошла ошибка
Интерактивная установка
# ipa-server-install --mkhomedir
Помимо аутентификации, IPA может управлять DNS-записями для хостов. Это может облегчить настройку и управление хостами.
Do you want to configure integrated DNS (BIND)? [no]: yes
Далее нужно указать имя хоста сервера, доменное имя и пространство Kerberos.
Server host name [server.redosipa.ru]:
Please confirm the domain name [redosipa.ru]:
Please provide a realm name [REDOSIPA.RU]:
Затем создайте пароль для менеджера каталогов LDAP и пароль администратора IPA, который будет использоваться при аутентификации в IPA в качестве администратора.
Если нужно, добавляем ретранслятор службы имен (DNS relay). Этот шаг необязателен, и необходим в том случае, если у Вас предполагается использовать внешний сервер для обработки запросов службы имен DNS. Учитываете, что по-умолчанию, сервер IPA предполагает, что будет пользоваться собственным сервером имен, который развертывает локально.
Do you want to configure DNS forwarders? [yes]:
Выбирайте [yes] (да), в случае, если присутствует внешний ретранслятор службы имен, иначе, выбирайте [no] – нет. Далее впишите дополнительные реверс зоны, если они нужны.
Do you want to configure these servers as DNS forwarders?
Инициируем создание обратной зоны для службы имен.
Do you want to search for missing reverse zones? [yes]: Do you want to create reverse zone for IP 192.168.1.123 [yes]: Please specify the reverse zone name [1.168.192.in-addr.arpa.]:
и имя NetBIOS для домена IPA. По умолчанию он определяется на основе доменного имени DNS.
NetBIOS domain name:
Подтвердите конфигурацию. После этого запустится программа установки.
Continue to configure the system with these values? [no]: yes
Убедитесь, что сервер IPA работает:
kinit admin ipa user-find admin
Установите оболочку по умолчанию для пользователей:
ipa config-mod --defaultshell=/usr/bin/bash
Подробную информацию о вводе хоста РЕД ОС в домен IPA см. в нашей инструкции «Ввод клиентских машин в домен IPA».
Дата последнего изменения: 23.09.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.