FreeIPA: установка первого контроллера и создание домена

CPU	2
RAM	2GB
HDD	5G

Подготовка

Имя сервера	dc1.ipa.aliennet.ru
Домен IPA	ipa.aliennet.ru
Область Kerberos (realm)	IPA.ALIENNET.RU
IP-адрес сервера	192.168.0.11

Имеются в наличии (см. FreeIPA: центр сертификации):

ca.crt - корневой сертификат инфраструктуры
server.p12 - контейнер с закрытым ключом и цепочкой сертификатов dc1.ipa.aliennet.ru

имя сервера

Установить имя сервера и добиться его локального разрешения:

hostnamectl set-hostname dc1.ipa.aliennet.ru
 
echo "192.168.0.11 dc1.ipa.aliennet.ru dc1" >> /etc/hosts
 
hostname -s # dc1
hostname -f # dc1.ipa.aliennet.ru
hostname -d # ipa.aliennet.ru
hostname -i # 192.168.0.11
hostname -I # 192.168.0.11

репозиторий и syslog-ng

Отключить расширенный репозиторий (если требуется):

sed -i 's/.*extended.*/#&/' /etc/apt/sources.list

Установить систему журналирования syslog-ng:

apt update
apt install acl logrotate syslog-ng-mod-astra

синхронизация времени

Отключить все механизмы синхронизации времени за исключением chrony:

systemctl --now disable systemd-timesyncd.service
apt --purge remove systemd-timesyncd

уровень безопасности

При необходимости изменить на максимальный:

astra-modeswitch set 2
reboot

снапшот/snapshot
сейчас можно зафиксировать состояние сервера

Установка (и создание домена)

Минимальный набор необходимых пакетов:

apt install freeipa-server-dns sssd-tools

На возможные вопросы отвечать нажатием Enter

Отключить режим безопасности web-сервера:

sed -i 's/.*AstraMode.*/AstraMode off/gI' /etc/apache2/apache2.conf # astra-mode-apps disable

Неочевидный трюк - временно запретить связь с «внешним миром»:

rm -fv /etc/resolv.conf
ip r delete default

Разместить в текущем каталоге файлы ca.crt, server.p12 и запустить команду создания сервера/домена:

ipa-server-install \
    --ca-cert-file=./ca.crt \
    --no-host-dns \
    --setup-dns \
    --skip-mem-check \
    --dirsrv-cert-file=./server.p12 \
    --http-cert-file=./server.p12 \
    --pkinit-cert-file=./server.p12 \
    --mkhomedir \
    --no-ntp \
    --allow-zone-overlap \
    --auto-reverse \
    --no-forwarders \
    --forward-policy=only \
    --no-dnssec-validation

В процессе установки:

Внимательно проверить и при необходимости изменить предлагаемые значения имен сервера, домена, области Kerberos и т.п.
Три раза ввести пароль от контейнера server.p12 (для трех служб домена: Apache/Directory/KDC)
Придумать и по дважды ввести пароли пользователей:
1. Directory Manager - «неолицетворенный» администратор каталога (домена)
2. admin - администратор IPA (домена)

Настройка

Продолжить дальнейшую настройку можно без перезагрузки сервера.