Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ» — различия между версиями
A.butyrin (обсуждение | вклад) м (A.butyrin переименовал страницу Развёртывание домена IPA в ОС RELS/«КОБАЛЬТ» в Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ» без оставления пер…) |
PastorDi (обсуждение | вклад) (→Установка) |
||
Строка 49: | Строка 49: | ||
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки: | В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки: | ||
+ | hostnamectl dc1.test.dom | ||
+ | |||
Имя: dc1.test.dom | Имя: dc1.test.dom | ||
IP:192.168.76.47/24 | IP:192.168.76.47/24 | ||
+ | Gataway: 192.168.76.1 | ||
+ | DNS: 8.8.8.8 | ||
=== Установка сервера IPA и настройка его окружения === | === Установка сервера IPA и настройка его окружения === | ||
* Установите оснастку для сервера IPA: | * Установите оснастку для сервера IPA: | ||
− | yum install bind-dyndb-ldap bind ipa-server | + | yum install bind-dyndb-ldap bind ipa-server ipa-server-dns |
* Проверьте корректность сетевых параметров в файле /etc/hosts: | * Проверьте корректность сетевых параметров в файле /etc/hosts: | ||
+ | hostnamectl status | ||
cat /etc/hosts | cat /etc/hosts | ||
− | Содержимое файла должно иметь следующий вид: | + | Содержимое файла hosts должно иметь следующий вид: |
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 | 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 | ||
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 | ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 | ||
Строка 75: | Строка 80: | ||
NETWORKING=yes | NETWORKING=yes | ||
NISDOMAIN=test.dom | NISDOMAIN=test.dom | ||
+ | |||
+ | Так как при установке FreeIPA настройки для SELINUX устанавливаются автоматически то отключать нет смысла. | ||
=== Инициализация сервера IPA === | === Инициализация сервера IPA === | ||
− | * Выполните | + | * Выполните настройку IPA сервера: |
− | ipa-server-install -- | + | ipa-server-install |
+ | |||
+ | <pre> | ||
+ | = вывод команды с необходимыми изменениями = | ||
+ | Файл журнала для этой установки можно найти в файле /var/log/ipaserver-install.log | ||
+ | =================================== | ||
+ | Данная программа позволит настроить IPA Server. | ||
+ | |||
+ | Это включает в себя: | ||
+ | * Настроить изолированный CA (dogtag) для управления сертификатами | ||
+ | * Настройка сетевого времени Демон (ntpd) | ||
+ | * Создать и настроить Directory Server | ||
+ | * Создание и настройка центра распространения ключей kerberos (KDC) | ||
+ | * Настроить Apache (httpd) | ||
+ | |||
+ | Чтобы принять значения по умолчанию указаны в скобках, нажмите клавишу Enter. | ||
+ | |||
+ | Вы хотите настроить DNS, интегрированной (BIND)? [no]: !!! yes | ||
+ | </pre> | ||
+ | '''Вы хотите настроить DNS, интегрированной (BIND)? [no]: yes''' | ||
+ | |||
+ | <pre> | ||
+ | Введите полное доменное имя компьютера | ||
+ | на что вы настраиваете программное обеспечение сервера. | ||
+ | Используя форму | ||
+ | <hostname>.<domainname> | ||
+ | Пример: dc1.test.dom | ||
+ | |||
+ | Имя хоста сервера [dc1.test.dom]: enter | ||
+ | </pre> | ||
+ | '''Имя хоста сервера [dc1.test.dom]: enter''' | ||
+ | |||
+ | <pre> | ||
+ | Предупреждение: пропуск разрешение DNS-узла dc1.test.dom | ||
+ | Имя домена определяется на основе имени узла. | ||
+ | |||
+ | Пожалуйста, подтвердите имя домена [test.dom]: enter | ||
+ | </pre> | ||
+ | |||
+ | '''Пожалуйста, подтвердите имя домена [test.dom]: enter ''' | ||
+ | <pre> | ||
+ | Протокол kerberos требует имя области должны быть определены. | ||
+ | Обычно это доменное имя преобразуется в верхний регистр. | ||
+ | |||
+ | Пожалуйста, укажите имя области [TEST.DOM]: !!! enter | ||
+ | </pre> | ||
+ | '''Пожалуйста, укажите имя области [TEST.DOM]: enter''' | ||
+ | <pre> | ||
+ | Определенных операций сервера каталогов требуют права администратора. | ||
+ | Этот пользователь называется менеджер каталога и имеет полный доступ | ||
+ | каталог для задачи управления системой и будет добавлено | ||
+ | экземпляр сервера каталога созданы для ipa. | ||
+ | Пароль должен быть минимум 8 символов. | ||
+ | |||
+ | Directory Manager пароль: ******** | ||
+ | Пароль (подтверждение): ******** | ||
+ | |||
+ | IPA сервер требует права администратора, по имени 'admin'. | ||
+ | Этот пользователь является регулярным системе учетная запись, используемая для управления IPA сервера. | ||
− | + | Пароль администратора IPA: ******** | |
− | + | Пароль (подтверждение): ******** | |
− | + | </pre> | |
− | + | Вводим пароли... | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | <pre> | |
− | + | Checking DNS domain test.dom., please wait ... | |
+ | Do you want to configure DNS forwarders? [yes]: enter | ||
+ | </pre> | ||
+ | '''Do you want to configure DNS forwarders? [yes]: enter''' | ||
+ | <pre> | ||
+ | Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4 | ||
+ | Do you want to configure these servers as DNS forwarders? [yes]: enter | ||
+ | All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now: | ||
+ | Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8 | ||
+ | </pre> | ||
+ | '''Do you want to configure these servers as DNS forwarders? [yes]: !!! enter ''' | ||
+ | Здесь вводим Google DNS (либо провайдерские). | ||
− | + | <pre> | |
− | + | DNS forwarder 8.8.8.8 added. You may add another. | |
− | + | Enter an IP address for a DNS forwarder, or press Enter to skip: | |
− | + | Checking DNS forwarders, please wait ... | |
+ | Do you want to search for missing reverse zones? [yes]: !!! enter | ||
+ | Do you want to create reverse zone for IP 192.168.76.47 [yes]: !!! enter | ||
+ | </pre> | ||
+ | '''Enter an IP address for a DNS forwarder, or press Enter to skip: enter''' | ||
+ | '''Do you want to search for missing reverse zones? [yes]: enter''' | ||
+ | '''Do you want to create reverse zone for IP 192.168.76.47 [yes]: enter''' | ||
− | + | <pre> | |
− | + | Please specify the reverse zone name [0.168.192.in-addr.arpa.]: | |
+ | Using reverse zone(s) 0.168.192.in-addr.arpa. | ||
− | + | The IPA Master Server will be configured with: | |
− | + | Hostname: dc1.test.dom | |
+ | IP address(es): 192.168.76.47 | ||
+ | Domain name: test.dom | ||
+ | Realm name: TEST.DOM | ||
− | + | BIND DNS server will be configured to serve IPA domain with: | |
− | + | Forwarders: 8.8.4.4, 8.8.8.8 | |
+ | Forward policy: only | ||
+ | Reverse zone(s): 0.168.192.in-addr.arpa. | ||
− | + | Продолжить настройку системы с этими значениями? [no]: yes | |
+ | </pre> | ||
+ | '''Продолжить настройку системы с этими значениями? [no]: yes''' | ||
− | + | Проверяем все ли правильно ввели. Если всё ОК, жмем YES и дальше... | |
− | + | ||
− | + | <pre> | |
− | + | Следующие операции могут занимать несколько минут. | |
+ | Пожалуйста, подождите, пока не вернетесь в приглашение. | ||
+ | </pre> | ||
− | + | Установка должна завершиться сообщением следующего вида: | |
+ | <pre> | ||
Setup complete | Setup complete | ||
Next steps: | Next steps: | ||
Строка 138: | Строка 221: | ||
This file is required to create replicas. The password for this | This file is required to create replicas. The password for this | ||
file is the Directory Manager password | file is the Directory Manager password | ||
+ | </pre> | ||
− | * По окончании процедуры | + | * По окончании процедуры устанвки перезагрузите сервер: |
reboot | reboot |
Версия 21:31, 17 июня 2019
Содержание
Назначение
В инструкции описан процесс развёртывания сервера IPA (Identification, Policy and Audit). Сервер IPA предназначен для организации единой службы аутентификации в OC семейства ROSA Linux, других популярных современных версиях ОС Linux, ОС семейства Windows, а также некоторых других ОС.
Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имён для обслуживаемых доменов.
Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики sudo
, парольные политики, включение в домен рабочих станций и т. п.
Администратору предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S)-сервера. Вы можете управлять развёрнутым сервером IPA прямо из браузера по защищённому HTTPS-соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью командной строки.
Список поддерживаемых клиентских ОС
ОС семейства Linux:
- ROSA Enterprise Desktop X2 и выше
- ROSA Enterprise Linux Server/Desktop 6.3 и выше
- РОСА «КОБАЛЬТ»
- ROSA Fresh R6 и выше
- Red Hat Enterprise Linux 5.х и выше
- CentOS Linux 6.х и выше
- Fedora Linux 18 и выше
- Ubuntu Linux 13.04 и выше
- SUSE (SLES) Linux 10 и выше
ОС семейства Windows:
- Microsoft Windows 7 и выше
UNIX-совместимые ОС:
- FreeBSD 9 и выше
ОС семейства UNIX:
- Solaris 8 и выше
- Mac OS X 10.4 (Tiger) и выше
- HP-UX 11.23 и выше
- IBM AIX 5.3 и выше
Планируется поддержка:
- Альт Линукс СПТ 8.0 и выше
Безопасность
ОС РОСА «КОБАЛЬТ» соответствует требованиям методического документа ФСТЭК «Профиль защиты операционных систем типа «А» четвёртого класса» (ИТ.ОС.А4.ПЗ). Прочие вышеперечисленные ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищённости и не могут применяться в защищённых АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.
Установка
Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА».
Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление:
yum update
Все приведённые команды выполняются от имени администратора (root).
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:
hostnamectl dc1.test.dom
Имя: dc1.test.dom IP:192.168.76.47/24 Gataway: 192.168.76.1 DNS: 8.8.8.8
Установка сервера IPA и настройка его окружения
- Установите оснастку для сервера IPA:
yum install bind-dyndb-ldap bind ipa-server ipa-server-dns
- Проверьте корректность сетевых параметров в файле /etc/hosts:
hostnamectl status cat /etc/hosts
Содержимое файла hosts должно иметь следующий вид:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.76.47 dc1.test.dom dc1
Последняя строка должна указывать на сервер.
- Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция
domain
илиsearch
. В файле /etc/resolv.conf должны содержаться записи следующего вида:
search test.dom nameserver 192.168.76.47
Перед установкой сервера IPA убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network:
# cat /etc/sysconfig/network HOSTNAME=dc1.test.dom NETWORKING=yes NISDOMAIN=test.dom
Так как при установке FreeIPA настройки для SELINUX устанавливаются автоматически то отключать нет смысла.
Инициализация сервера IPA
- Выполните настройку IPA сервера:
ipa-server-install
= вывод команды с необходимыми изменениями = Файл журнала для этой установки можно найти в файле /var/log/ipaserver-install.log =================================== Данная программа позволит настроить IPA Server. Это включает в себя: * Настроить изолированный CA (dogtag) для управления сертификатами * Настройка сетевого времени Демон (ntpd) * Создать и настроить Directory Server * Создание и настройка центра распространения ключей kerberos (KDC) * Настроить Apache (httpd) Чтобы принять значения по умолчанию указаны в скобках, нажмите клавишу Enter. Вы хотите настроить DNS, интегрированной (BIND)? [no]: !!! yes
Вы хотите настроить DNS, интегрированной (BIND)? [no]: yes
Введите полное доменное имя компьютера на что вы настраиваете программное обеспечение сервера. Используя форму <hostname>.<domainname> Пример: dc1.test.dom Имя хоста сервера [dc1.test.dom]: enter
Имя хоста сервера [dc1.test.dom]: enter
Предупреждение: пропуск разрешение DNS-узла dc1.test.dom Имя домена определяется на основе имени узла. Пожалуйста, подтвердите имя домена [test.dom]: enter
Пожалуйста, подтвердите имя домена [test.dom]: enter
Протокол kerberos требует имя области должны быть определены. Обычно это доменное имя преобразуется в верхний регистр. Пожалуйста, укажите имя области [TEST.DOM]: !!! enter
Пожалуйста, укажите имя области [TEST.DOM]: enter
Определенных операций сервера каталогов требуют права администратора. Этот пользователь называется менеджер каталога и имеет полный доступ каталог для задачи управления системой и будет добавлено экземпляр сервера каталога созданы для ipa. Пароль должен быть минимум 8 символов. Directory Manager пароль: ******** Пароль (подтверждение): ******** IPA сервер требует права администратора, по имени 'admin'. Этот пользователь является регулярным системе учетная запись, используемая для управления IPA сервера. Пароль администратора IPA: ******** Пароль (подтверждение): ********
Вводим пароли...
Checking DNS domain test.dom., please wait ... Do you want to configure DNS forwarders? [yes]: enter
Do you want to configure DNS forwarders? [yes]: enter
Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4 Do you want to configure these servers as DNS forwarders? [yes]: enter All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now: Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Do you want to configure these servers as DNS forwarders? [yes]: !!! enter Здесь вводим Google DNS (либо провайдерские).
DNS forwarder 8.8.8.8 added. You may add another. Enter an IP address for a DNS forwarder, or press Enter to skip: Checking DNS forwarders, please wait ... Do you want to search for missing reverse zones? [yes]: !!! enter Do you want to create reverse zone for IP 192.168.76.47 [yes]: !!! enter
Enter an IP address for a DNS forwarder, or press Enter to skip: enter Do you want to search for missing reverse zones? [yes]: enter Do you want to create reverse zone for IP 192.168.76.47 [yes]: enter
Please specify the reverse zone name [0.168.192.in-addr.arpa.]: Using reverse zone(s) 0.168.192.in-addr.arpa. The IPA Master Server will be configured with: Hostname: dc1.test.dom IP address(es): 192.168.76.47 Domain name: test.dom Realm name: TEST.DOM BIND DNS server will be configured to serve IPA domain with: Forwarders: 8.8.4.4, 8.8.8.8 Forward policy: only Reverse zone(s): 0.168.192.in-addr.arpa. Продолжить настройку системы с этими значениями? [no]: yes
Продолжить настройку системы с этими значениями? [no]: yes
Проверяем все ли правильно ввели. Если всё ОК, жмем YES и дальше...
Следующие операции могут занимать несколько минут. Пожалуйста, подождите, пока не вернетесь в приглашение.
Установка должна завершиться сообщением следующего вида:
Setup complete Next steps: 1. You must make sure these network ports are open: TCP Ports: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos * 53: bind UDP Ports: * 88, 464: kerberos * 53: bind * 123: ntp 2. You can now obtain a kerberos ticket using the command: 'kinit admin' This ticket will allow you to use the IPA tools (e.g., ipa user-add) and the web user interface. Be sure to back up the CA certificate stored in /root/cacert.p12 This file is required to create replicas. The password for this file is the Directory Manager password
- По окончании процедуры устанвки перезагрузите сервер:
reboot
Работа с сервером IPA через web-интерфейс
Теперь можно открыть браузер и соединиться с узлом, на котором развернут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат.
Введите: Username — admin, Password — пароль для администратора IPA, заданный при настройке.
Теперь можно работать со службой каталогов.
Повторная инициализация сервера
- Если при инициализации домена возникли ошибки, удалите его:
ipa-server-install --uninstall
- Проверьте настройки ещё раз и повторите инициализацию.
После инициализации сервера IPA к нему можно подключать рабочие станции.