Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ» — различия между версиями
(В Альте уже собрали freeipa) |
A.butyrin (обсуждение | вклад) (оформление, орфография/пунктуация, стилевые правки) |
||
Строка 21: | Строка 21: | ||
* Ubuntu Linux 13.04 и выше | * Ubuntu Linux 13.04 и выше | ||
* SUSE (SLES) Linux 10 и выше | * SUSE (SLES) Linux 10 и выше | ||
− | |||
ОС семейства Windows: | ОС семейства Windows: | ||
Строка 34: | Строка 33: | ||
* HP-UX 11.23 и выше | * HP-UX 11.23 и выше | ||
* IBM AIX 5.3 и выше | * IBM AIX 5.3 и выше | ||
+ | |||
+ | Планируется поддержка: | ||
+ | * Альт Линукс СПТ 8.0 и выше | ||
== Безопасность == | == Безопасность == | ||
Строка 41: | Строка 43: | ||
Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА». | Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА». | ||
− | Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление: | + | Для RELS нужно получить и установить в файл <tt>/etc/rosa-support-id-server</tt> лицензионный ключ, после чего произвести обновление: |
yum update | yum update | ||
Строка 51: | Строка 53: | ||
Имя: dc1.test.dom | Имя: dc1.test.dom | ||
IP:192.168.76.47/24 | IP:192.168.76.47/24 | ||
− | + | Gateway: 192.168.76.1 | |
− | DNS: 8.8. | + | DNS: 8.8.8.8 |
=== Установка сервера IPA и настройка его окружения === | === Установка сервера IPA и настройка его окружения === | ||
Строка 58: | Строка 60: | ||
yum install bind-dyndb-ldap bind ipa-server ipa-server-dns | yum install bind-dyndb-ldap bind ipa-server ipa-server-dns | ||
− | * Проверьте корректность сетевых параметров в файле /etc/hosts: | + | * Проверьте корректность сетевых параметров в файле <tt>/etc/hosts</tt>: |
hostnamectl status | hostnamectl status | ||
cat /etc/hosts | cat /etc/hosts | ||
− | Содержимое файла hosts должно иметь следующий вид: | + | Содержимое файла <tt>hosts</tt> должно иметь следующий вид: |
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 | 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 | ||
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 | ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 | ||
Строка 69: | Строка 71: | ||
Последняя строка должна указывать на сервер. | Последняя строка должна указывать на сервер. | ||
− | * Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция <code>domain</code> или <code>search</code>. В файле /etc/resolv.conf должны содержаться записи следующего вида: | + | * Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция <code>domain</code> или <code>search</code>. В файле <tt>/etc/resolv.conf</tt> должны содержаться записи следующего вида: |
search test.dom | search test.dom | ||
nameserver 192.168.76.47 | nameserver 192.168.76.47 | ||
− | Перед установкой сервера IPA убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network: | + | Перед установкой сервера IPA убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле <tt>/etc/sysconfig/network</tt>: |
# cat /etc/sysconfig/network | # cat /etc/sysconfig/network | ||
HOSTNAME=dc1.test.dom | HOSTNAME=dc1.test.dom | ||
Строка 79: | Строка 81: | ||
NISDOMAIN=test.dom | NISDOMAIN=test.dom | ||
− | + | Поскольку при установке FreeIPA параметры SELinux устанавливаются автоматически, отключать его не нужно. | |
=== Инициализация сервера IPA === | === Инициализация сервера IPA === | ||
− | * Выполните настройку | + | * Выполните настройку сервера IPA: |
ipa-server-install | ipa-server-install | ||
− | + | Журнал этой установки записывается в файл <tt>/var/log/ipaserver-install.log</tt>. | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | Данная программа позволит сконфигурировать IPA Server, а именно: | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | * настроить изолированный CA (dogtag) для управления сертификатами | |
+ | * настроить службу сетевого времени (ntpd) | ||
+ | * создать и настроить Directory Server | ||
+ | * создать и настроить центр распространения ключей kerberos (KDC) | ||
+ | * настроить Apache (httpd) | ||
− | + | Далее настройка будет происходить в режиме «вопрос-ответ». Везде, где не указано обратное, нужно выбирать предлагаемое по умолчанию значение, просто нажимая клавишу <Enter>. | |
− | < | + | |
− | '''Вы хотите настроить DNS | + | <tt>'''Вы хотите настроить интегрированный DNS (BIND)? [no]: yes'''</tt> |
<pre> | <pre> | ||
− | Введите полное доменное имя компьютера | + | Введите полное доменное имя компьютера, на котором вы настраиваете |
− | на | + | программное обеспечение сервера, в формате <hostname>.<domainname>. |
− | + | Пример: dc1.test.dom. | |
− | <hostname>.<domainname> | + | |
− | Пример: dc1.test.dom | + | |
− | + | ||
− | + | ||
</pre> | </pre> | ||
− | '''Имя хоста сервера [dc1.test.dom]: | + | |
+ | <tt>'''Имя хоста сервера [dc1.test.dom]: <Enter>'''</tt> | ||
<pre> | <pre> | ||
− | Предупреждение: пропуск | + | Предупреждение: пропуск разрешения DNS-узла dc1.test.dom |
Имя домена определяется на основе имени узла. | Имя домена определяется на основе имени узла. | ||
− | |||
− | |||
</pre> | </pre> | ||
− | '''Пожалуйста, подтвердите имя домена [test.dom]: | + | <tt>'''Пожалуйста, подтвердите имя домена [test.dom]: <Enter>'''</tt> |
+ | |||
<pre> | <pre> | ||
− | Протокол kerberos требует имя области | + | Протокол kerberos требует, чтобы имя области было определено. |
− | Обычно это доменное имя | + | Обычно это доменное имя, преобразованное в верхний регистр. |
+ | </pre> | ||
+ | |||
+ | <tt>'''Пожалуйста, укажите имя области [TEST.DOM]: <Enter>'''</tt> | ||
− | |||
− | |||
− | |||
<pre> | <pre> | ||
− | + | Определённые операции сервера каталогов требуют прав администратора. | |
− | Этот пользователь называется | + | Этот пользователь называется менеджером каталога и имеет полный доступ |
− | + | к каталогу для управления системой. Будет добавлен | |
− | экземпляр сервера | + | экземпляр сервера каталогов, предназначенный для ipa. |
− | Пароль должен | + | Пароль должен содержать как минимум 8 символов. |
− | + | Пароль менеджера каталога: ******** | |
Пароль (подтверждение): ******** | Пароль (подтверждение): ******** | ||
− | IPA | + | Сервер IPA требует прав администратора с именем 'admin'. |
− | Этот пользователь | + | Этот пользователь — обычная системная учётная запись, используемая |
+ | для управления сервером IPA. | ||
Пароль администратора IPA: ******** | Пароль администратора IPA: ******** | ||
Пароль (подтверждение): ******** | Пароль (подтверждение): ******** | ||
</pre> | </pre> | ||
− | + | ||
+ | Введите пароли. | ||
<pre> | <pre> | ||
Checking DNS domain test.dom., please wait ... | Checking DNS domain test.dom., please wait ... | ||
− | |||
</pre> | </pre> | ||
− | '''Do you want to configure DNS forwarders? [yes]: | + | |
+ | <tt>'''Do you want to configure DNS forwarders? [yes]: <Enter>'''</tt> | ||
+ | |||
<pre> | <pre> | ||
Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4 | Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4 | ||
Строка 159: | Строка 155: | ||
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8 | Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8 | ||
</pre> | </pre> | ||
− | |||
− | Здесь | + | <tt>'''Do you want to configure these servers as DNS forwarders? [yes]: <Enter>'''</tt> |
+ | |||
+ | Здесь нужно ввести адрес DNS-сервера Google либо DNS-сервера провайдера. | ||
<pre> | <pre> | ||
DNS forwarder 8.8.8.8 added. You may add another. | DNS forwarder 8.8.8.8 added. You may add another. | ||
− | Enter an IP address for a DNS forwarder, or press Enter to skip: | + | </pre> |
+ | |||
+ | <tt>'''Enter an IP address for a DNS forwarder, or press Enter to skip: <Enter>'''</tt> | ||
+ | |||
+ | <pre> | ||
Checking DNS forwarders, please wait ... | Checking DNS forwarders, please wait ... | ||
− | |||
− | |||
</pre> | </pre> | ||
− | |||
− | '''Do you want to search for missing reverse zones? [yes]: | + | <tt>'''Do you want to search for missing reverse zones? [yes]: <Enter>''' |
− | '''Do you want to create reverse zone for IP 192.168.76.47 [yes]: | + | '''Do you want to create reverse zone for IP 192.168.76.47 [yes]: <Enter>'''</tt> |
<pre> | <pre> | ||
Строка 190: | Строка 188: | ||
Forward policy: only | Forward policy: only | ||
Reverse zone(s): 0.168.192.in-addr.arpa. | Reverse zone(s): 0.168.192.in-addr.arpa. | ||
− | |||
− | |||
</pre> | </pre> | ||
− | |||
− | + | <tt>'''Продолжить настройку системы с этими значениями? [no]: yes'''</tt> | |
+ | |||
+ | Проверьте корректность введённых параметров и введите <code>yes</code>. | ||
<pre> | <pre> | ||
− | Следующие операции могут | + | Следующие операции могут занять несколько минут. |
− | Пожалуйста, подождите, пока не | + | Пожалуйста, подождите, пока не вернётся приглашение. |
</pre> | </pre> | ||
Установка должна завершиться сообщением следующего вида: | Установка должна завершиться сообщением следующего вида: | ||
+ | |||
<pre> | <pre> | ||
Setup complete | Setup complete | ||
Строка 224: | Строка 222: | ||
</pre> | </pre> | ||
− | * По окончании процедуры | + | * По окончании процедуры установки перезагрузите сервер: |
reboot | reboot | ||
=== Работа с сервером IPA через web-интерфейс === | === Работа с сервером IPA через web-интерфейс === | ||
− | + | Теперь можно открыть браузер и соединиться с узлом, на котором развёрнут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат. | |
− | + | ||
− | Теперь можно открыть браузер и соединиться с узлом, на котором | + | |
Введите: Username — admin, Password — пароль для администратора IPA, заданный при настройке. | Введите: Username — admin, Password — пароль для администратора IPA, заданный при настройке. | ||
− | [[Файл:FreeIPA.png | + | [[Файл:FreeIPA.png]] |
Теперь можно работать со службой каталогов. | Теперь можно работать со службой каталогов. | ||
− | [[Файл: | + | [[Файл:FreeIPA_2.jpg]] |
− | + | ||
=== Повторная инициализация сервера === | === Повторная инициализация сервера === |
Версия 16:06, 18 июня 2019
Содержание
Назначение
В инструкции описан процесс развёртывания сервера IPA (Identification, Policy and Audit). Сервер IPA предназначен для организации единой службы аутентификации в OC семейства ROSA Linux, других популярных современных версиях ОС Linux, ОС семейства Windows, а также некоторых других ОС.
Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имён для обслуживаемых доменов.
Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики sudo
, парольные политики, включение в домен рабочих станций и т. п.
Администратору предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S)-сервера. Вы можете управлять развёрнутым сервером IPA прямо из браузера по защищённому HTTPS-соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью командной строки.
Список поддерживаемых клиентских ОС
ОС семейства Linux:
- ROSA Enterprise Desktop X2 и выше
- ROSA Enterprise Linux Server/Desktop 6.3 и выше
- РОСА «КОБАЛЬТ»
- ROSA Fresh R6 и выше
- Red Hat Enterprise Linux 5.х и выше
- CentOS Linux 6.х и выше
- Fedora Linux 18 и выше
- Ubuntu Linux 13.04 и выше
- SUSE (SLES) Linux 10 и выше
ОС семейства Windows:
- Microsoft Windows 7 и выше
UNIX-совместимые ОС:
- FreeBSD 9 и выше
ОС семейства UNIX:
- Solaris 8 и выше
- Mac OS X 10.4 (Tiger) и выше
- HP-UX 11.23 и выше
- IBM AIX 5.3 и выше
Планируется поддержка:
- Альт Линукс СПТ 8.0 и выше
Безопасность
ОС РОСА «КОБАЛЬТ» соответствует требованиям методического документа ФСТЭК «Профиль защиты операционных систем типа «А» четвёртого класса» (ИТ.ОС.А4.ПЗ). Прочие вышеперечисленные ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищённости и не могут применяться в защищённых АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.
Установка
Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА».
Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление:
yum update
Все приведённые команды выполняются от имени администратора (root).
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:
hostnamectl dc1.test.dom
Имя: dc1.test.dom IP:192.168.76.47/24 Gateway: 192.168.76.1 DNS: 8.8.8.8
Установка сервера IPA и настройка его окружения
- Установите оснастку для сервера IPA:
yum install bind-dyndb-ldap bind ipa-server ipa-server-dns
- Проверьте корректность сетевых параметров в файле /etc/hosts:
hostnamectl status cat /etc/hosts
Содержимое файла hosts должно иметь следующий вид:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.76.47 dc1.test.dom dc1
Последняя строка должна указывать на сервер.
- Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция
domain
илиsearch
. В файле /etc/resolv.conf должны содержаться записи следующего вида:
search test.dom nameserver 192.168.76.47
Перед установкой сервера IPA убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network:
# cat /etc/sysconfig/network HOSTNAME=dc1.test.dom NETWORKING=yes NISDOMAIN=test.dom
Поскольку при установке FreeIPA параметры SELinux устанавливаются автоматически, отключать его не нужно.
Инициализация сервера IPA
- Выполните настройку сервера IPA:
ipa-server-install
Журнал этой установки записывается в файл /var/log/ipaserver-install.log.
Данная программа позволит сконфигурировать IPA Server, а именно:
- настроить изолированный CA (dogtag) для управления сертификатами
- настроить службу сетевого времени (ntpd)
- создать и настроить Directory Server
- создать и настроить центр распространения ключей kerberos (KDC)
- настроить Apache (httpd)
Далее настройка будет происходить в режиме «вопрос-ответ». Везде, где не указано обратное, нужно выбирать предлагаемое по умолчанию значение, просто нажимая клавишу <Enter>.
Вы хотите настроить интегрированный DNS (BIND)? [no]: yes
Введите полное доменное имя компьютера, на котором вы настраиваете программное обеспечение сервера, в формате <hostname>.<domainname>. Пример: dc1.test.dom.
Имя хоста сервера [dc1.test.dom]: <Enter>
Предупреждение: пропуск разрешения DNS-узла dc1.test.dom Имя домена определяется на основе имени узла.
Пожалуйста, подтвердите имя домена [test.dom]: <Enter>
Протокол kerberos требует, чтобы имя области было определено. Обычно это доменное имя, преобразованное в верхний регистр.
Пожалуйста, укажите имя области [TEST.DOM]: <Enter>
Определённые операции сервера каталогов требуют прав администратора. Этот пользователь называется менеджером каталога и имеет полный доступ к каталогу для управления системой. Будет добавлен экземпляр сервера каталогов, предназначенный для ipa. Пароль должен содержать как минимум 8 символов. Пароль менеджера каталога: ******** Пароль (подтверждение): ******** Сервер IPA требует прав администратора с именем 'admin'. Этот пользователь — обычная системная учётная запись, используемая для управления сервером IPA. Пароль администратора IPA: ******** Пароль (подтверждение): ********
Введите пароли.
Checking DNS domain test.dom., please wait ...
Do you want to configure DNS forwarders? [yes]: <Enter>
Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4 Do you want to configure these servers as DNS forwarders? [yes]: enter All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now: Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
Do you want to configure these servers as DNS forwarders? [yes]: <Enter>
Здесь нужно ввести адрес DNS-сервера Google либо DNS-сервера провайдера.
DNS forwarder 8.8.8.8 added. You may add another.
Enter an IP address for a DNS forwarder, or press Enter to skip: <Enter>
Checking DNS forwarders, please wait ...
Do you want to search for missing reverse zones? [yes]: <Enter>
Do you want to create reverse zone for IP 192.168.76.47 [yes]: <Enter>
Please specify the reverse zone name [0.168.192.in-addr.arpa.]: Using reverse zone(s) 0.168.192.in-addr.arpa. The IPA Master Server will be configured with: Hostname: dc1.test.dom IP address(es): 192.168.76.47 Domain name: test.dom Realm name: TEST.DOM BIND DNS server will be configured to serve IPA domain with: Forwarders: 8.8.4.4, 8.8.8.8 Forward policy: only Reverse zone(s): 0.168.192.in-addr.arpa.
Продолжить настройку системы с этими значениями? [no]: yes
Проверьте корректность введённых параметров и введите yes
.
Следующие операции могут занять несколько минут. Пожалуйста, подождите, пока не вернётся приглашение.
Установка должна завершиться сообщением следующего вида:
Setup complete Next steps: 1. You must make sure these network ports are open: TCP Ports: * 80, 443: HTTP/HTTPS * 389, 636: LDAP/LDAPS * 88, 464: kerberos * 53: bind UDP Ports: * 88, 464: kerberos * 53: bind * 123: ntp 2. You can now obtain a kerberos ticket using the command: 'kinit admin' This ticket will allow you to use the IPA tools (e.g., ipa user-add) and the web user interface. Be sure to back up the CA certificate stored in /root/cacert.p12 This file is required to create replicas. The password for this file is the Directory Manager password
- По окончании процедуры установки перезагрузите сервер:
reboot
Работа с сервером IPA через web-интерфейс
Теперь можно открыть браузер и соединиться с узлом, на котором развёрнут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат.
Введите: Username — admin, Password — пароль для администратора IPA, заданный при настройке.
Теперь можно работать со службой каталогов.
Повторная инициализация сервера
- Если при инициализации домена возникли ошибки, удалите его:
ipa-server-install --uninstall
- Проверьте настройки ещё раз и повторите инициализацию.
После инициализации сервера IPA к нему можно подключать рабочие станции.