Full Stack in The Wild

. . . или проекты старого сисадмина

Инструменты пользователя

Инструменты сайта

astra:freeipa-dc1

Содержание

FreeIPA: установка первого контроллера и создание домена

Минимальная конфигурация:

CPU2
RAM2GB
HDD5G

Подготовка

Имя сервераdc1.ipa.aliennet.ru
Домен IPAipa.aliennet.ru
Область Kerberos (realm)IPA.ALIENNET.RU
IP-адрес сервера192.168.0.11

Имеются в наличии (см. FreeIPA: центр сертификации):

  • ca.crt - корневой сертификат инфраструктуры
  • server.p12 - контейнер с закрытым ключом и цепочкой сертификатов dc1.ipa.aliennet.ru

имя сервера

Установить имя сервера и добиться его локального разрешения: 

hostnamectl set-hostname dc1.ipa.aliennet.ru
 
echo "192.168.0.11 dc1.ipa.aliennet.ru dc1" >> /etc/hosts
 
hostname -s # dc1
hostname -f # dc1.ipa.aliennet.ru
hostname -d # ipa.aliennet.ru
hostname -i # 192.168.0.11
hostname -I # 192.168.0.11

репозиторий и syslog-ng

Отключить расширенный репозиторий (если требуется): 

sed -i 's/.*extended.*/#&/' /etc/apt/sources.list

Установить систему журналирования syslog-ng: 

apt update
apt install acl logrotate syslog-ng-mod-astra

синхронизация времени

Отключить все механизмы синхронизации времени за исключением chrony: 

systemctl --now disable systemd-timesyncd.service
apt --purge remove systemd-timesyncd

уровень безопасности

При необходимости изменить на максимальный: 

astra-modeswitch set 2
reboot

снапшот/snapshot
сейчас можно зафиксировать состояние сервера

Установка (и создание домена)

Минимальный набор необходимых пакетов: 

apt install freeipa-server-dns sssd-tools

На возможные вопросы отвечать нажатием Enter

Отключить режим безопасности web-сервера: 

sed -i 's/.*AstraMode.*/AstraMode off/gI' /etc/apache2/apache2.conf # astra-mode-apps disable

Неочевидный трюк - временно запретить связь с «внешним миром»: 

rm -fv /etc/resolv.conf
ip r delete default

Разместить в текущем каталоге файлы ca.crt, server.p12 и запустить команду создания сервера/домена: 

ipa-server-install \
    --ca-cert-file=./ca.crt \
    --no-host-dns \
    --setup-dns \
    --skip-mem-check \
    --dirsrv-cert-file=./server.p12 \
    --http-cert-file=./server.p12 \
    --pkinit-cert-file=./server.p12 \
    --mkhomedir \
    --no-ntp \
    --allow-zone-overlap \
    --auto-reverse \
    --no-forwarders \
    --forward-policy=only \
    --no-dnssec-validation

В процессе установки:

  • Внимательно проверить и при необходимости изменить предлагаемые значения имен сервера, домена, области Kerberos и т.п.
  • Три раза ввести пароль от контейнера server.p12 (для трех служб домена: Apache/Directory/KDC)
  • Придумать и по дважды ввести пароли пользователей:
    1. Directory Manager - «неолицетворенный» администратор каталога (домена)
    2. admin - администратор IPA (домена)

Настройка

Продолжить дальнейшую настройку можно без перезагрузки сервера.