5.3 Установка сервера IPA

Подготовка сервера

Задайте хостнейм.

Он должен определять область домена IPA сервера. Например, если ваш домен example.ru, то хостнейм реплики может быть — ipa.example.ru

# hostnamectl set-hostname ipa.example.ru

Замените chronid на ntpd

# systemctl stop chronyd
# systemctl disable chronyd
# systemctl start ntpd.service 
# systemctl enable ntpd
# ntpdate time.yandex.ru

Укажите сервер времени

Пропишите в файле /etc/ntp.conf сервер времени, перед стандартными серверами. Ниже приведен пример:

...
server time.yandex.ru
server ntp1.vniiftri.ru
server ntp2.vniiftri.ru
...

Настройте сетевой адаптер

Важно
IP адрес сервера ни когда не должен изменяться. Сделайте его статическим в вашей сети.

Более подробное описание конфигурирования сетевого адаптера вы можете найти в статье «Настройка сетевого адаптера».

Отредактируйте /etc/hosts

Впишите запись для вашего сервера с сетевым ip адресом. Например

192.168.0.1 dc.ipa.test dc

Устанавка ipa-server

Установите ipa-server

Установите IPA сервер

# yum -y install bind bind-dyndb-ldap ipa-server*

Настройка сервера

Есть два варианта настройки, интерактивный и автоматический.

Важно
Невозможно изменить конфигурацию ЦС после создания домена, и невозможно перенести его из одной конфигурации в другую. Крайне важно, чтобы требования ЦС были рассмотрены до начала процесса установки.

Если каждая машина в домене будет клиентом IPA, добавьте адрес сервера IPA в конфигурацию DHCP.

Заметка

Сценарий ipa-replica-install включает в себя утилиту ipa-replica-conncheck, которая проверяет статус требуемых портов. Вы также можете запускать ipa-replica-conncheck отдельно для устранения неполадок.

Опции и параметры автоматической установки.

Основные параметры

-r REALM_NAME, —realm=REALM_NAME (REALM имя)

Имя области Kerberos для сервера IPA

-n DOMAIN_NAME, —domain=DOMAIN_NAME (доменное имя)

Ваше доменное имя DNS

-p DM_PASSWORD, —ds-password=DM_PASSWORD (DM пароль)

Пароль, который будет использоваться сервером каталогов для пользователя Менеджера каталогов

-P MASTER_PASSWORD,

—master-password=MASTER_PASSWORD (мастер паролей)

Главный пароль kerberos (обычно генерируемый автоматически)

-a ADMIN_PASSWORD,

—admin-password=ADMIN_PASSWORD (пароль администратора)

Пароль для пользователя admin IPA

—hostname=HOST_NAME (имя хоста)

Полное DNS-имя этого сервера. Если имя хоста не совпадает с именем системного хоста, системное имя хоста соответственно, будет обновляться, чтобы предотвратить сбои службы.

—ip-address=IP_ADDRESS (IP адрес)

IP-адрес этого сервера. Если этот адрес не соответствует адресу, который хост разрешает, и —setup-dns не выбран, установка завершится с ошибкой. Если имя хоста сервера не разрешимо, запись для имени хоста и IP_ADDRESS добавляется в / etc / hosts.

-N, —no-ntp (нет ntp)

Не настраивать NTP

—idstart=IDSTART

Начальный идентификатор пользователя и группы (по умолчанию случайный)

—idmax=IDMAX

Максимальный идентификатор пользователя и группы (по умолчанию: idstart + 199999). Если установлено равным нулю, будет использоваться значение по умолчанию.

—no_hbac_allow (не разрешать hbac)

Не устанавливайте правило allow_all (разрешить всё) HBAC. Это правило позволяет любому пользователю с любого хоста получать доступ к любой службе на любом другом хосте. Ожидается, что пользователи удалят это правило перед переходом на производство.

—no-ui-redirect (не перенаправлять ui)

Не следует автоматически перенаправлять веб-интерфейс,

—ssh-trust-dns (ssh доверить dns)

Настройте клиент OpenSSH для проверки записей DNS SSHFP,

—no-ssh (нет ssh)

Не настраивайте клиента OpenSSH,

—no-sshd (нет sshd)

Не настраивать сервер OpenSSH,

-d, —debug (отладить)

Включить ведение журнала отладки, когда требуется более подробный вывод,

-U, —unattended (без запроса)

Автоматическая установка, которая никогда не будет запрашивать,

для ввода пользователем.

 

Параметры системы сертификата

 

—external-ca

Генерировать CSR, который должен быть подписан внешним CA

—external_cert_file=ФАЙЛ

Файл, содержащий сертификат PKCS # 10

—external_ca_file= ФАЙЛ

Файл, содержащий PKCS # 10 внешней CA-цепи

—dirsrv_pkcs12= ФАЙЛ

Файл PKCS # 12, содержащий сертификат SSL сервера каталогов

http_pkcs12= ФАЙЛ

Файл PKCS # 12, содержащий сертификат SSL Apache Server

—dirsrv_pin=DIRSRV_PIN

Пароль файла PKCS # 12 сервера каталогов

http_pin=HTTP_PIN

Пароль файла Apache Server PKCS # 12

—subject=ПРЕДМЕТ

База данных сертификата (по умолчанию O = REALM.NAME)

—selfsign

Настройте самозаверяющий экземпляр CA для выдачи сертификатов сервера вместо использования dogtag для сертификатов.

 

ПРЕДУПРЕЖДЕНИЕ. Использование этой опции ограничивает возможности управления сертификатами сервера. Пожалуйста, имейте в виду, что этот способ не меняется.

 

Опции (выбор) DNS

 

—setup-dns (настройка DNS)

Создайте зону DNS, если она еще не существует, и настройте DNS-сервер. Эта опция требует, чтобы вы либо указали по крайней мере один переадресатор DNS через параметр —forwarder, либо использовали параметр —no-forwarders.

 

Обратите внимание, что вы можете настроить DNS в любое время после установки первого сервера IPA, выполнив ipa-dns-install.

 

—forwarder=IP_ADDRESS (IP адрес)

Добавьте DNS-переадресацию в конфигурацию DNS. Вы можете использовать эту опцию несколько раз, чтобы указать больше пересылок, но по крайней мере один должен быть предоставлен, если не указана опция —no-forwarders.

 

—no-forwarders

Не добавляйте DNS-пересылок. Вместо этого будут использоваться корневые DNS-серверы.

 

—reverse-zone=REVERSE_ZONE (обратная зона)

Зона обратного использования DNS

 

—no-reverse (без обратной зоны)

Не создавать обратную зону DNS

 

—zonemgr (зона mgr)

Адрес электронной почты менеджера зоны DNS. По умолчанию hostmaster @ DOMAIN

 

—no-persistent-search (нет постоянного поиска)

Не включать механизм постоянного поиска для обновления списка зон DNS на сервере имен. Если постоянный поиск отключен, а параметр -zone-refresh не установлен ​​на ненулевом значении, новые зоны не будут запускаться, пока сервер имен не будет перезагружен.

 

—zone-refresh=ZONE_REFRESH (зона обновления)

Если установлено ненулевое значение, механизм обновления постоянной зоны поиска будет отключен, а сервер имен будет использовать механизм опроса для загрузки новых зон DNS каждые секунды ZONE_REFRESH.

 

—no-host-dns (нет хоста DNS)

Не используйте DNS для поиска имени хоста во время установки

 

—no-dns-sshfp (нет DNS sshfp)

Нельзя автоматически создавать записи DNS SSHFP.

 

—no-serial-autoincrement (нет последовательного автоматического увеличения)

Не включайте функцию автоматического автообновления SOA. Последовательность SOA должна быть обновлена ​​автоматически или другие функции DNS, такие как передача зоны, DNSSEC не будут работать должным образом. Для этой функции требуется постоянный механизм обновления зоны поиска.

Параметры удаления

—uninstall (удаление, деинсталяция)

Удалите существующую установку IPA

-U, —unattended (без сопровождения)

Автоматическая деинсталляция, которая никогда не будет

приглашение для ввода пользователем

 

Статус выхода

0, если установка (un) прошла успешно

1, если произошла ошибка

 

Интерактивная установка

# ipa-server-install --mkhomedir

Помимо аутентификации, IPA может управлять DNS-записями для хостов. Это может облегчить настройку и управление хостами.

Do you want to configure integrated DNS (BIND)? [no]: yes

Далее нужно указать имя хоста сервера, доменное имя и пространство Kerberos.

Server host name [ipa.example.ru]:

Please confirm the domain name [example.ru]:

Please provide a realm name [EXAMPLE.RU]:

Затем создайте пароль для менеджера каталогов LDAP и пароль администратора IPA, который будет использоваться при аутентификации в IPA в качестве администратора.

Если нужно добавляем ретранслятор службы имен (DNS relay). Этот шаг необязателен, и необходим в том случае, если у Вас предполагается использовать внешний сервер для обработки запросов службы имен DNS. Учитываете, что по-умолчанию, сервер IPA предполагает, что будет пользоваться собственным сервером имен, который развертывает локально.

Do you want to configure DNS forwarders? [yes]:

Выбирайте [yes] (да), в случае, если присутствует внешний ретранслятор службы имен, иначе, выбирайте [no] – нет. Далее впишите дополнительные реверс зоны, если они нужны.

Do you want to configure these servers as DNS forwarders?

Инициируем создание обратной зоны для службы имен.

Do you want to configure the reverse zone? [yes]:

Подтвердите конфигурацию. После этого запустится программа установки.

Continue to configure the system with these values? [no]: yes

Убедитесь, что сервер IPA работает:

kinit admin
ipa user-find admin

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.