Содержание
FreeIPA: начальная настройка контроллера домена
После создания контроллера домена или его реплики (КД) можно внести некоторые изменения в его локальную конфигурацию. Это необязательно, но весьма полезно, особенно на начальном этапе развертывания инфраструктуры FreeIPA.
admin
Проверить работоспособность IPA и при необходимости увеличить срок действия пароля admin:
id admin # команда должна успешно отработать adduser admin astra-admin adduser admin@ipa.aliennet.ru astra-admin login admin klist ipa user-mod admin --password-expiration=21000101000000Z exit
Администратору домена admin предоставляется полный (root) доступ к операционной системе КД (через astra-admin→sudo)
Тем не менее, следует создать локального пользователя с административными правами в случае неработоспособности IPA,
или по другому организовать на КД локальный root-доступ, не нарушающий требования информационной безопасности
apache
Включить доступ к порталу управления только по https и настроить перенаправление (redirect):
a2dissite 000-default a2enconf ipa-rewrite
Отключить аудит:
sed -i 's/.*AstraAudit.*/AstraAudit off/gI' /etc/apache2/apache2.conf
dns
Отключить DNSSEC и фильтрацию DNS-запросов:
- /etc/bind/ipa-options-ext.conf
. . . dnssec-validation no; allow-recursion { any; }; allow-query-cache { any; };
Исправить права доступа:
chmod -v 0644 /etc/resolv.conf
Добавить A- запись домена:
kinit admin ipa dnsrecord-add $(hostname -d). @ --a-ip-address=$(hostname -i)
chrony
Настроить вышестоящие серверы синхронизации chrony и включить режим обслуживания клиентов (allow):
- /etc/chrony/chrony.conf
. . . server 0.ru.pool.ntp.org iburst server 1.ru.pool.ntp.org iburst server 2.ru.pool.ntp.org iburst server 3.ru.pool.ntp.org iburst pool ru.pool.ntp.org iburst allow 0.0.0.0/0 . . .
sssd
Включить сервисную активацию sssd (сокеты будут отключены позже):
- /etc/sssd/sssd.conf
. . . [sssd] services = ifp, nss, pam . . .
службы
Отключить «ненужные» службы (в том числе все сокеты sssd) и добиться:
systemctl list-unit-files --state=enabled
UNIT FILE STATE PRESET auditd.service enabled enabled chrony.service enabled enabled getty@.service enabled enabled gssproxy.service enabled enabled ipa.service enabled enabled oddjobd.service enabled enabled parsec.service enabled enabled ssh.service enabled enabled sssd.service enabled enabled swap-wiper.service enabled enabled syslog-ng.service enabled enabled systemd-network-generator.service enabled enabled systemd-networkd-wait-online.service enabled disabled systemd-networkd.service enabled enabled systemd-networkd.socket enabled enabled astra-safepolicy.target enabled enabled ipa-ccache-sweep.timer enabled enabled logrotate.timer enabled enabled 18 unit files listed.
systemctl list-unit-files --state=enabled --global
UNIT FILE STATE PRESET 0 unit files listed.
фиксы от вендора
В вендорских вариантах пакетов (astra-freeipa-) присутствуют «заплатки», применять которые следует при необходимости:
/var/log/krb5kdc.log
Включение этого журнала:
- /etc/systemd/system/krb5-kdc.service.d/astra-freeipa-krb5-kdc.conf
[Service] ReadWriteDirectories= ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log
И его ротация:
- /etc/logrotate.d/krb5-kdc
/var/log/krb5kdc.log { daily rotate 7 missingok notifempty compress delaycompress }
/var/cache/bind/named.run
- /etc/logrotate.d/named
/var/cache/bind/named.run { daily rotate 7 missingok notifempty compress delaycompress postrotate /usr/sbin/rndc reconfig > /dev/null endscript su bind bind # <- ??? }
reboot
Один из вариантов быстрой перезагрузки:
ipactl stop systemctl stop sssd reboot