Установка сервера и клиента FreeIPA на Astra Linux 1.7

• FreeIPA — открытый проект для централизованной идентификации и авторизации пользователей.  

• Позволяет ограничивать доступ к сетевым службам.  

• Обязательные компоненты: служба каталогов 389 Directory Server, Kerberos, DNS-сервер BIND.  

• Дополнительные компоненты: служба синхронизации времени Chronos, соединение клиента с удалённым хостом.  

• Возможные дополнительные службы: Apache для веб-управления, центр сертификации DocTech.  

• Служба каталогов хранит учётные записи пользователей, групп, компьютеров и служб.  

• Упрощает доступ к сервисам в больших сетях.  

• Kerberos обеспечивает единую точку входа для доступа к сервисам.  

• Область действия Kerberos обычно совпадает с доменом.  

• Объекты в одном реалме доверяют друг другу.  

• Хост отправляет запрос на контроллер с именем пользователя и текущим временем, зашифрованным парольным хэшем.  

• Контроллер расшифровывает запрос и проверяет время.  

• При успешной аутентификации контроллер выдаёт TGT-билет.  

• Пользователь получает доступ к разным сервисам, используя одну учётную запись.  

• Хрони используется для синхронизации времени.  

• DNS хранит учётные записи хостов.  

• Веб-сервер управляет доступом через веб.  

• Служба SSD соединяет клиентов с хранилищем идентичности.  

• Первый контроллер FreeIPA будет называться DC1.  

• Будут установлены ещё два хоста.  

• Настройка машины без механизмов защиты для работы с EPU.  

• Рекомендации по ресурсам: три ядра процессора, 4 ГБ оперативной памяти, файл подкачки.  

• В рабочей среде обязательно добавьте файл подкачки.  

• Настройка сети через Network Manager.  

• Добавление вручную IP-адреса, маски, шлюза и DNS-серверов.  

• Инициализация интерфейса и проверка связи с интернетом.  

• Изменение имени хоста на DC1.test.local.  

• Корректировка файла /etc/hosts для правильного отображения имени.  

• Проверка DNS-серверов в /etc/resolv.conf.  

• Использование репозиториев для установки FreeIPA.  

• Добавление сервера и клиента FreeIPA.  

• Возможность установки дополнительных компонентов, например, сервера сертификации.  

• Инициализация FreeIPA сервера с указанием параметров: имя домена, имя сервера, пароль администратора.  

• Проверка статуса служб после инициализации.  

• Перезагрузка сервера для завершения установки.  

• Вход в веб-интерфейс FreeIPA с использованием доменного администратора.  

• Обзор установленных служб и узлов.  

• Добавление клиентов в домен FreeIPA.  

• Удаление локальных пользователей и использование доменных пользователей.  

• Присвоение хостового имени и настройка DNS на клиентах.  

• Ручная настройка DNS-сервера на клиентах.  

• Указание адреса контроллера FreeIPA в настройках DNS.  

• Проверка правильности настроек DNS.  

• Указание адреса DNS-сервера: 10.28.0.148.  

• Управление DNS через веб-интерфейс или терминал.  

• Использование команд `nmcli connection show` и `nmcli connection modify` для настройки интерфейсов.  

• Игнорирование автоматического получения DNS: `ipv4 dns ignore auto`.  

• Назначение конкретного DNS-сервера: `ipv4 dns server 10.28.0.148`.  

• Команды для перезапуска соединения: `down проводное соединение один` и `up проводное соединение один`.  

• Проверка подключения: `ping dc1.test.local`.  

• Добавление записей в файл `/etc/resolv.conf`: `search test.local` и `nameserver 10.28.0.148`.  

• Запуск установки клиента RIPE: `astrapipe client`.  

• Ввод клиента в домен: `astrapipe client -d test.local`.  

• Синхронизация времени и создание ключей.  

• Перезагрузка компьютера и проверка наличия клиента в домене.  

• Создание пользователя и вход в систему.  

• Вход в систему как администратор домена RIPE.  

• Проверка информации о хосте: имя узла, платформа, операционная система, ядро, имя учётной записи.  

• Установка сервера RIPE и клиентов.  

• Подготовка к дальнейшему изучению настроек.