5.2 Рекомендации по развертыванию

Некоторые параметры и решения, не учтенные до развертывания и IPA очень трудно изменить позже или даже невозможно. Поэтому в этом пункте приводятся важнейшие особенности и решения, необходимые для успешного развертывания.

DNS

DNS преднамеренно отображается первым, поскольку DNS играет важную роль в функциях управления идентификацией, особенно Kerberos.

Домен

IPA всегда должен иметь собственный основной домен, например example.ru или ipa.example.ru, который не должен использоваться совместно с другой системой управления идентификацией на основе Kerberos, поскольку в противном случае на уровне системы Kerberos будут возникать конфликты. Например, если IPA и Active Directory используют один и тот же домен, доверительные отношения никогда не будут возможны, а также автоматическое обнаружение клиентского сервера через DNS SRV-записи.

Избегайте коллизий имен Мы настоятельно рекомендуем вам не использовать доменное имя, которое не делегировано вам, даже в частной сети. Например, вы не должны использовать доменное имя example.ru, если у вас нет действительного делегирования для него в общедоступном дереве DNS. Если это правило не соблюдается, доменное имя будет разрешено по-разному в зависимости от конфигурации сети. В результате сетевые ресурсы станут недоступными. Использование доменных имен, которые не делегированы вам, также затрудняет развертывание и обслуживание DNSSEC. Дополнительную информацию об этой проблеме можно найти в FAQ ICANN по вопросам коллизий доменных имен.

Клиентские машины не обязательно должны находиться в том же домене, что и IPA-серверы. Например, IPA может быть доменом ipa.example.ru и иметь клиентов в домене clients.example.ru, просто нужно иметь четкое сопоставление между доменом DNS и областью Kerberos. Стандартным методом для создания сопоставления являются записи TXT DNS. (IPA DNS добавляет их автоматически.)

Важно
!!! Не называйте свой домен .local !!! Он зарезервирован для автоматически конфигурируемых сетей.
Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

hosts:          files mdns4_minimal [NOTFOUND=return] dns

Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и  работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

hosts:          files dns

Особенности для интеграции с  Active Directory

Домен Active Directory — сложная система. Он включает в себя логически структурированный набор ресурсов (машины, пользователи, службы и т. Д.), Которые принадлежат потенциально нескольким доменам DNS. Несколько доменов DNS могут быть частью одного домена AD (где домен AD по определению совпадает с областью AD Kerberos). Несколько доменов AD можно объединить в лес. Самый первый домен AD, созданный в лесу, называется лесной корневой домен . Верхнее имя основного домена DNS домена AD используется как имя домена Kerberos AD.

Домен IPA тоже представляет собой сложную систему. Он включает в себя логически структурированный набор ресурсов (машины, пользователи, службы и т. Д.), Которые принадлежат потенциально нескольким доменам DNS. В отличие от Active Directory у нас есть один домен / область IPA для развертывания, а для Active Directory этот единственный домен IPA выглядит как отдельный лес Active Directory. Active Directory считает основной домен DNS, используемый в качестве основы для области Kerberos IPA, как корневой домен леса для домена IPA (например, корневой домен леса для Active Directory).

Домен IPA может быть размещен в любом домене DNS, который не имеет прямого совпадения с любым доменом в лесу Active Directory. Он может быть, например, ipa.example.ru, если эта зона DNS не занята каким-либо другим доменом AD в том же лесу. Или может быть ipa.ad.example.ru, если нет перекрытий на одном уровне зоны DNS.

Доверие между двумя лесами Active Directory всегда устанавливается как доверие между корневыми доменами этих лесов. Если домен IPA использует ipa.ad.example.ru в качестве основной зоны DNS, мы будем говорить об установлении доверительного отношения к лесу между лесом Active Directory ad.example.ru и доменом IPA ipa.ad.example.ru. Если существует несколько зон DNS, принадлежащих домену IPA, рекомендуется размещать записи kerberos указывающие на имя области IPA в каждом из них для правильного обнаружения сетевых ресурсов клиентами IPA.

DNS-сервер

Домен IPA может обслуживаться либо интегрированной службой DNS, либо внешней службой. Рекомендуется использовать интегрированную службу DNS.

При использовании интегрированной службы DNS пакет bind-dyndb-ldap должен быть установлен перед разворачиванием IPA сервера.

При использовании внешнего сервера имен возможно использование функций управления идентификацией или доверия, однако конфигурация будет намного сложнее и подвержена ошибкам.

Имя области Kerberos

Когда вы начинаете устанавливать сервер IPA, вы всегда определяете имя области Kerberos для этой установки. При выборе названия области выполните следующие правила:

  • Имя области не должно конфликтовать с любым другим существующим именем области Kerberos (например, имя, используемое Active Directory).
  • Имя области должно быть верхним регистром ( EXAMPLE.RU) основного DNS-имени домена ( example.ru ).
  • Клиенты IPA из разных доменов DNS (example.net, example.org, example.com) могут быть объединены в единую область Kerberos ( EXAMPLE.RU )
  • Одна установка IPA всегда представляет собой единую область Kerberos.
Важно
Невозможно изменить основной домен и область IPA после установки. Продумайте его тщательно. Не ожидайте перехода от лабораторной / промежуточной среды к рабочей среде (например, сменить lab.example.ru на ipa.example.ru )

Множественное развертывание

Серверы и клиенты IPA могут распространяться в разных географических точках. Механизм местоположения DNS позволяет разделить топологию на отдельные области, называемые местоположениями. Клиенты, использующие записи DNS SRV (например, SSSD) в одном месте, используют близлежащие серверы IPA.

При планировании развертывания важно иметь в виду, что функции DNS в IPA требуют, по крайней мере, одного DNS-сервера в каждом месте. Если это необходимо, можно использовать несколько DNS-представлений на внешних DNS-серверах вместо развертывания DNS-сервера для каждого местоположения, но такие настройки обычно менее устойчивы.

PKI

Когда выполнена настройка PKI, хосты и службы IPA могут получать подписанные сертификаты от IPA CA. Затем сертификаты могут использоваться для аутентификации или проверки подлинности в настроенных службах.

В настоящее время существует 3 типа, настройки среды сертификатов IPA:

  1. Без смешивания — IPA просто устанавливается с собственной службой PKI и самозаверяющим сертификатом ЦА
  2. Внешний ЦА — IPA установлен с собственной PKI, но сертификат ЦА подписан внешним центром сертификации (служба сертификации Active Directory или другая пользовательская служба сертификации). Для этого требуется, чтобы внешний ЦС разрешил субцентры.
  3. Установка без ЦА- IPA не настраивает собственный ЦС, но использует подписанные сертификаты хоста из внешнего ЦС.
Важно
После установки невозможно изменить базу данных сертификата IPA. Продумайте это тщательно. По умолчанию используется O = $ REALM

Серверы/Реплики

Исключительность сервера IPA

Настоятельно рекомендуется избегать развертывания других приложений или служб на виртуальной машине IPA по нескольким основным причинам:

  • Причины производительности — сервер IPA может быть ресурсозатратным для машины, особенно когда количество объектов LDAP велико;
  • Стабильность — IPA интегрирована в систему, и если стороннее приложение меняет конфигурацию или службы IPA, домен может сломаться
  • Легче перенести сервер IPA на более новую платформу

Количество серверов

IPA работает в реплицированной среде с несколькими мастерами. Количество серверов зависит от нескольких факторов:

  • Сколько записей в системе?
  • Сколько у вас разных географически распределенных центров обработки данных?
  • Насколько активны приложения и клиенты в отношении аутентификации и поиска LDAP.

Как правило, рекомендуется иметь по меньшей мере 2-3 реплики в каждом центре обработки данных. В каждом центре обработки данных должна быть по крайней мере одна реплика с дополнительными службами IPA, такими как PKI или DNS, если они используются. Обратите внимание, что не рекомендуется иметь более 4 реплик в одном месте. В следующем примере показана рекомендуемая инфраструктура:

Клиенты

У каждого клиента для отказоустойчивости должно быть как минимум 2 DNS сервера, настроенных в /etc/resolv.conf. Обновите конфигурацию resolv.conf и DHCPd .

Для каждого клиента, использующего ipa-client-install, требуется доступ к порту 443 (HTTPS) на сервере IPA. Это связано с тем, что после регистрации клиент загружает собственные ключи SSH и выполняет несколько операций. IPI CLI также использует тот же порт для связи с ведущим IPA. Таким образом, требуется доступ к HTTPS (443) с клиентской стороны.

Интеграция с Active Directory

Чтобы настроить доверительные отношения, необходимо правильно настроить DNS, IPA должен иметь собственный первичный DNS-домен, и соответствующую ему область Kerberos. DNS-домен и область Kerberos должны отличаться от домена DNS Active Directory.

Еще одним важным требованием является стек IPv6. Рекомендуемым способом для современных сетевых приложений является только открытие сокетов IPv6 для прослушивания, поскольку IPv4 и IPv6 используют один и тот же диапазон локальных портов. IPA использует Samba как часть интеграции с Active Directory, а Samba требует включенного стека IPv6 на машине.

НЕ используйте ipv6.disable = 1 в командной строке ядра: он отключает весь стек IPv6 и ломает Samba.

Если необходимо, добавьте ipv6.disable_ipv6 = 1, это будет поддерживать функциональность стека IPv6, но не будет назначать адреса IPv6 для ваших сетевых устройств. Это рекомендуемый подход для случаев, когда вы не используете сети IPv6.

Добавление следующих строк в /etc/sysctl.d/ipv6.conf, позволит не назначать адреса IPv6 для определенного сетевого интерфейса:

net.ipv6.conf.all.disable_ipv6 = 1 
# Отключение «все» не применяется к интерфейсам, которые уже используются, когда применяются параметры sysctl. 
net.ipv6.conf.<интерфейс0>.disable_ipv6 = 1

где interface0 — ваш специализированный интерфейс. Обратите внимание, что все, что нам нужно, это то, чтобы стек IPv6 был включен на уровне ядра, это рекомендуется для разработки сетевых приложений уже давно.

SSL

Из-за CVE-2014-3566 протокол протокола Secure Socket Layer версии 3 (SSLv3) должен быть отключен в модуле mod_nss. Вы можете сделать это, выполнив следующие шаги:

  1. Отредактируйте файл/etc/httpd/conf.d/nss.conf и установите параметр NSSProtocol (для обратной совместимости) и TLSv1.1.
NSSProtocol TLSv1.0, TLSv1.1
  1. Перезапустите httpdслужбу.
# service httpd restart

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.