Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ» — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
(оформление, стилевые правки, обновление данных)
Строка 1: Строка 1:
 
== Назначение ==
 
== Назначение ==
Инструкция предназначена для описания процесса развертывания сервера IPA (Identification Policy and Audit).
 
Сервер IPA предназначен для организации единой службы аутентификации для OC семейства ROSA Linux, других популярных современных версий ОС Linux, Windows, а также некоторых других
 
операционных систем.
 
  
Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имен для обслуживаемых доменов. Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики sudo, парольные политики, включение в домен рабочих станций и т.п.
+
В инструкции описан процесса развёртывания сервера IPA (Identification, Policy and Audit). Сервер IPA предназначен для организации единой службы аутентификации в OC семейства ROSA Linux, других популярных современных версиях ОС Linux, ОС семейства Windows, а также некоторых других ОС.  
  
Также предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S) сервера. Вы сможете управлять Вашим развернутым IPA сервером прямо из браузера по защищенному HTTPS соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью интерфейса командной строки.
+
Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имён для обслуживаемых доменов.
 +
 
 +
Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики <code>sudo</code>, парольные политики, включение в домен рабочих станций и т.&nbsp;п.
 +
 
 +
Администратору предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S)-сервера. Вы можете управлять развёрнутым сервером IPA прямо из браузера по защищённому HTTPS-соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью командной строки.
  
 
== Список поддерживаемых клиентских ОС ==
 
== Список поддерживаемых клиентских ОС ==
 +
 
ОС семейства Linux:
 
ОС семейства Linux:
* ROSA Linux Enterprise Desktop X2 (RED X2) и выше
+
* ROSA Enterprise Desktop X2 и выше
* РОСА «КОБАЛЬТ» SX 1.0 и выше
+
* ROSA Enterprise Linux Server и Desktop 6.3 и выше
* ROSA Enterprise Linux Server (RELS) 6.3 и выше
+
* РОСА «КОБАЛЬТ»
 
* ROSA Fresh R6 и выше
 
* ROSA Fresh R6 и выше
* Red Hat Enterprise Linux версии 5.х и выше
+
* Red Hat Enterprise Linux 5.х и выше
* CentOS Linux версии 6.х и выше
+
* CentOS Linux 6.х и выше
 
* Fedora Linux 18 и выше
 
* Fedora Linux 18 и выше
* Ubuntu Linux версии 13.04 и выше
+
* Ubuntu Linux 13.04 и выше
 
* SUSE (SLES) Linux 10 и выше
 
* SUSE (SLES) Linux 10 и выше
  
ОС семейства Microsoft Windows:
+
ОС семейства Windows:
* Microsoft Windows 7 и выше;
+
* Microsoft Windows 7 и выше
Для UNIX-совместимых ОС:
+
 
* FreeBSD 9 и выше;
+
UNIX-совместимые ОС:
Для ОС семейства UNIX:
+
* FreeBSD 9 и выше
* Solaris 8 и выше;
+
 
* Mac OS X версии 10.4 (Tiger) и выше;
+
ОС семейства UNIX:
* HP-UX 11.23 и выше;
+
* Solaris 8 и выше
* IBM AIX версии 5.3 и выше.
+
* Mac OS X 10.4 (Tiger) и выше
 +
* HP-UX 11.23 и выше
 +
* IBM AIX 5.3 и выше
 +
 
 
Планируется поддержка:
 
Планируется поддержка:
* ALT Linux СПТ 8 и выше.
+
* Альт Линукс СПТ 8.0 и выше
  
 
== Безопасность ==
 
== Безопасность ==
ОС РОСА «КОБАЛЬТ» SX 1.0 имеет показатели защищенности от НСД - по 5-му классу защищенности и 4-й уровень контроля отсутствия НДВ, и может применяться в АС(автоматизированных системах) с классом защиты информации не выше 1Г. Перечисленные выше ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищенности и не могут применяться в защищенных АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.
+
ОС РОСА «КОБАЛЬТ» соответствует требованиям методического документа ФСТЭК «Профиль защиты операционных систем типа «А» четвёртого класса» (ИТ.ОС.А4.ПЗ). Прочие вышеперечисленные ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищённости и не могут применяться в защищённых АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.
  
 
== Установка ==
 
== Установка ==
Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС Rosa Enterprise Linux Server (RELS) (ОС РОСА «КОБАЛЬТ» SX 1.0) в варианте «Стандартный сервер РОСА».
+
Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА».
  
Для RELS должен быть получен и установлен в файл /etc/rosa-support-id-server лицензионный ключ и произведено обновление командой
+
Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление:
  '''yum update'''
+
yum update
  
Все приведенные команды и настройки проводятся под учетной записью суперпользователя (root). В примерах, приводимых в данной инструкции мы будем предполагать, что наш сервер имеет
+
Все приведённые команды выполняются от имени администратора (root).  
следующие сетевые настройки:
+
  Имя: dc1.test.dom
+
  IP:192.168.76.47/24
+
Также обязателен статический IP
+
  
=== Подключение дополнительного репозитория для «КОБАЛЬТ» SX 1.0  ===
+
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:
Для установки IPA на ОС РОСА «КОБАЛЬТ» SX 1.0 нужно подключить дополнительный репозиторий.
+
Имя: dc1.test.dom
Для этого есть 2 варианта:
+
IP:192.168.76.47/24
- в текстовом режиме редактируем файл ''/etc/yum.repos.d/rels.repo'', установив в
+
секции [rels-base] параметр '''enabled=1''',
+
- в графической среде открыть «Источники программ»
+
(''Пуск→Администрирование→Источники программ'') и поставить галочку напротив пункта «ROSA
+
Enterprise Linux Server — Base».
+
 
+
[[File:FreeIPA 1.jpg]]
+
 
+
Перед установкой пакетов убедитесь в доступности обоих источников программ. Доступность дополнительного сетевого источника можно проверить командой:
+
  '''ping mirror.rosalinux.com'''
+
Вы должны увидеть примерно следующий вывод:
+
  '''# ping mirror.rosalinux.com
+
  PING mirror.rosalinux.com (195.19.76.246) 56(84) bytes of data.
+
  64 bytes from 195.19.76.246: icmp_seq=1 ttl=63 time=2.21 ms'''
+
Доступность локального репозитория проверяется наличием смонтированного образа установочного диска в каталог /media/ROSA-SX-1.0/, например, командой:
+
'''# mount |grep ROSA'''
+
Вы должны увидеть следующий вывод:
+
  '''# mount |grep ROSA'''
+
  /dev/sr0 on /media/ROSA-SX-1.0 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=500,gid=500,iocharset=utf8,mode=0400,dmode=0500)
+
  
 
=== Установка сервера IPA и настройка его окружения ===
 
=== Установка сервера IPA и настройка его окружения ===
Установим оснастку для сервера IPA:
+
* Установите оснастку для сервера IPA:
  '''yum install bind-dyndb-ldap bind ipa-server'''
+
yum install bind-dyndb-ldap bind ipa-server
  
Затем проверим наличие корректных сетевых настроек в файле ''/etc/hosts''.
+
* Проверьте корректность сетевых параметров в файле /etc/hosts:
Он должен выглядеть примерно так:
+
# cat /etc/hosts
  '''127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4'''
+
  '''::1 localhost localhost.localdomain localhost6 localhost6.localdomain6'''
+
  '''192.168.76.47 dc1.test.dom dc1'''
+
  
Нас в первую очередь интересует нижняя строчка, которая должна указывать на наш сервер.
+
Содержимое файла должно иметь следующий вид:
 +
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
 +
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
 +
192.168.76.47 dc1.test.dom dc1
  
Теперь нужно убедиться, что в качестве первого DNS сервера у нас используется ваш будущий сервер домена IPA. И, если планируется использовать короткие имена машин в сети, то прописана
+
Последняя строчка должна указывать на сервер.
корректная опция domain или search. Для этого в файле /etc/resolv.conf должны быть записи вида:
+
  '''search test.dom'''
+
  '''nameserver 192.168.76.47'''
+
  
Перед установкой IPA сервера убедитесь, что имя сервера (hostname) у Вас задано строчными буквами. Имя сервера задается в файле ''/etc/sysconfig/network''.
+
* Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция <code>domain</code> или <code>search</code>. В файле /etc/resolv.conf должны содержаться записи следующего вида:
  '''cat /etc/sysconfig/network'''
+
search test.dom
  '''HOSTNAME=dc1.test.dom'''
+
nameserver 192.168.76.47
  '''NETWORKING=yes'''
+
  '''NISDOMAIN=test.dom'''
+
  
Для сервера на ОС РОСА «КОБАЛЬТ» SX 1.0 необходимо выполнить дополнительные команды:
+
Перед установкой сервера IPA убедитесь, что имя сервера (hostname) задано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network:
  '''rm -f /etc/portreserve/slapd'''
+
# cat /etc/sysconfig/network
  '''yum remove firefox thunderbird'''
+
HOSTNAME=dc1.test.dom
  '''yum downgrade nss nss-tools nss-sysinit nss-util'''
+
NETWORKING=yes
 +
NISDOMAIN=test.dom
  
 
=== Инициализация сервера IPA ===
 
=== Инициализация сервера IPA ===
Проведем инициализацию домена командой:
+
* Выполните инициализацию домена:
  '''ipa-server-install --setup-dns'''
+
ipa-server-install --setup-dns
  
Вначале мы видим информационное сообщение о том, что будет сделано в ходе установки:
+
Вначале вам будет выведено информационное сообщение о том, что будет сделано в ходе установки:
  The log file for this installation can be found in /var/log/ipaserver-
+
The log file for this installation can be found in /var/log/ipaserver-
  install.log
+
install.log
  =============================================================
+
=============================================================
  This program will set up the IPA Server.
+
This program will set up the IPA Server.
  This includes:
+
This includes:
  * Configure a stand-alone CA (dogtag) for certificate management
+
* Configure a stand-alone CA (dogtag) for certificate management
  * Configure the Network Time Daemon (ntpd)
+
* Configure the Network Time Daemon (ntpd)
  * Create and configure an instance of Directory Server
+
* Create and configure an instance of Directory Server
  * Create and configure a Kerberos Key Distribution Center (KDC)
+
* Create and configure a Kerberos Key Distribution Center (KDC)
  * Configure Apache (httpd)
+
* Configure Apache (httpd)
  * Configure DNS (bind)
+
* Configure DNS (bind)
  To accept the default shown in brackets, press the Enter key.
+
To accept the default shown in brackets, press the Enter key.
  
Так как у нас уже установлен сервис bind (он установился вместе с ОС в выбранном нами варианте «Стандартный сервер РОСА»), нам будет предложено изменить его конфигурацию. Соглашаемся.
+
* Поскольку сервис ''bind'' уже установлен (он поставляется вместе с ОС в варианте «Стандартный сервер РОСА»), вам будет предложено изменить его конфигурацию. Согласитесь:
  Existing BIND configuration detected, overwrite? [no]: y
+
Existing BIND configuration detected, overwrite? [no]: y
  
Далее инициализация происходит в интерактивном режиме. Нам задаются вопросы, мы на них отвечаем. При корректной сетевой настройке сервера на все вопросы нужно выбирать
+
Далее инициализация будет происходить в режиме «вопрос-ответ». При корректной сетевой настройке во всех случаях нужно выбирать предлагаемое по умолчанию значение, просто нажимая клавишу <Enter>:
предлагаемое по умолчанию значение, просто нажимая клавишу Enter:
+
Server host name [dc1.test.dom]:
 +
Please confirm the domain name [test.dom]:
 +
Please provide a realm name [TEST.DOM]:
  
  Server host name [dc1.test.dom]:
+
* Введите пароль (минимум 8 знаков) для служебного пользователя службы каталогов:
  Please confirm the domain name [test.dom]:
+
Directory Manager password:
  Please provide a realm name [TEST.DOM]:
+
Далее введем пароль (минимум 8 знаков) для служебного пользователя службы каталогов
+
  Directory Manager password:
+
Далее введем пароль для администратора IPA (пользователь admin)
+
  IPA admin password:
+
Если нужно добавляем ретранслятор службы имен (DNS relay). Этот шаг необязателен, и необходим в том случае, если у Вас предполагается использовать внешний сервер для обработки
+
запросов службы имен DNS. Учитываете, что по-умолчанию, сервер IPA предполагает, что будет пользоваться собственным сервером имен, который развертывает локально.
+
  Do you want to configure DNS forwarders? [yes]:
+
Выбирайте [yes] (да), в случае, если присутствует внешний ретранслятор службы имен, иначе, выбирайте [no] – нет.
+
Инициируем создание обратной зоны для службы имен.
+
  Do you want to configure the reverse zone? [yes]:
+
  
Затем нам будет предложено еще раз проверить настройки и, если все корректно, запустить процедуру инициализации домена.
+
* Введите пароль для администратора IPA (пользователь admin):
  Continue to configure the system with these values? [no]: y
+
IPA admin password:
она должна закончиться примерно следующим сообщением:
+
 
 +
* При необходимости добавьте ретранслятор службы имён (DNS relay). Это нужно, если вы планируете использовать внешний сервер для обработки запросов службы имён DNS. Учитывайте, что по умолчанию сервер IPA предполагает использование собственного сервера имен, который развёртывается локально.
 +
Do you want to configure DNS forwarders? [yes]:
 +
 
 +
* Выберите <code>[yes]</code> (да) в случае, если имеется внешний ретранслятор службы имён, и <code>[no]</code> (нет) в противном случае.
 +
 
 +
* Инициируйте создание обратной зоны для службы имён:
 +
Do you want to configure the reverse zone? [yes]:
 +
 
 +
* Затем вам будет предложено ещё раз проверить настройки и, если всё корректно, запустить процедуру инициализации домена:
 +
Continue to configure the system with these values? [no]: y
 +
 
 +
Инициализация должна завершиться сообщением следующего вида:
 
   Setup complete
 
   Setup complete
 
   Next steps:
 
   Next steps:
Строка 158: Строка 139:
 
   file is the Directory Manager password
 
   file is the Directory Manager password
  
После окончания процедуры инициализации, перезагрузите сервер.
+
* По окончании процедуры инициализации перезагрузите сервер.
  
 
=== Работа с сервером IPA через web-интерфейс ===
 
=== Работа с сервером IPA через web-интерфейс ===
Теперь можно открыть веб-браузер и соединитесь с узлом, на котором развернут IPA сервер по HTTP или HTTPS. Учитывайте, что по-умолчанию на сервер IPA устанавливается самоподписанный сертификат. В качестве логина указываем admin, пароль — для администратора IPA, введенный при настройке.
+
Теперь можно открыть веб-браузер и соединиться с узлом, на котором развернут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат.  
 +
 
 +
Логин — admin, пароль — для администратора IPA, введённый при настройке.
  
 
[[Файл:FreeIPA.png]]
 
[[Файл:FreeIPA.png]]
  
Теперь можно работать со службой каталогов
+
Теперь можно работать со службой каталогов.
  
 
[[Файл:FreeIPA_2.jpg]]
 
[[Файл:FreeIPA_2.jpg]]
  
 
=== Повторная инициализация сервера ===
 
=== Повторная инициализация сервера ===
В случае возникновения ошибок при инициализации домена, проведите его удаление командой:
+
В случае возникновения ошибок при инициализации домена проведите его удаление командой:
  '''ipa-server-install --uninstall'''
+
ipa-server-install --uninstall
Проверьте настройки еще раз и повторите инициализацию
+
Проверьте настройки ещё раз и повторите инициализацию.
  
После инициализации сервера IPA к нему можно [[Подключение ROSA Desktop к домену FreeIPA|подключать рабочие станции]]
+
После инициализации сервера IPA к нему можно [[Подключение ROSA Desktop к домену FreeIPA|подключать рабочие станции]].
 
[[Категория:ROSA Enterprise Linux Server]]
 
[[Категория:ROSA Enterprise Linux Server]]

Версия 19:47, 23 ноября 2018

Назначение

В инструкции описан процесса развёртывания сервера IPA (Identification, Policy and Audit). Сервер IPA предназначен для организации единой службы аутентификации в OC семейства ROSA Linux, других популярных современных версиях ОС Linux, ОС семейства Windows, а также некоторых других ОС.

Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имён для обслуживаемых доменов.

Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики sudo, парольные политики, включение в домен рабочих станций и т. п.

Администратору предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S)-сервера. Вы можете управлять развёрнутым сервером IPA прямо из браузера по защищённому HTTPS-соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью командной строки.

Список поддерживаемых клиентских ОС

ОС семейства Linux:

  • ROSA Enterprise Desktop X2 и выше
  • ROSA Enterprise Linux Server и Desktop 6.3 и выше
  • РОСА «КОБАЛЬТ»
  • ROSA Fresh R6 и выше
  • Red Hat Enterprise Linux 5.х и выше
  • CentOS Linux 6.х и выше
  • Fedora Linux 18 и выше
  • Ubuntu Linux 13.04 и выше
  • SUSE (SLES) Linux 10 и выше

ОС семейства Windows:

  • Microsoft Windows 7 и выше

UNIX-совместимые ОС:

  • FreeBSD 9 и выше

ОС семейства UNIX:

  • Solaris 8 и выше
  • Mac OS X 10.4 (Tiger) и выше
  • HP-UX 11.23 и выше
  • IBM AIX 5.3 и выше

Планируется поддержка:

  • Альт Линукс СПТ 8.0 и выше

Безопасность

ОС РОСА «КОБАЛЬТ» соответствует требованиям методического документа ФСТЭК «Профиль защиты операционных систем типа «А» четвёртого класса» (ИТ.ОС.А4.ПЗ). Прочие вышеперечисленные ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищённости и не могут применяться в защищённых АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.

Установка

Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА».

Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление:

yum update

Все приведённые команды выполняются от имени администратора (root).

В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:

Имя: dc1.test.dom
IP:192.168.76.47/24

Установка сервера IPA и настройка его окружения

  • Установите оснастку для сервера IPA:
yum install bind-dyndb-ldap bind ipa-server
  • Проверьте корректность сетевых параметров в файле /etc/hosts:
# cat /etc/hosts

Содержимое файла должно иметь следующий вид:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.76.47 dc1.test.dom dc1

Последняя строчка должна указывать на сервер.

  • Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция domain или search. В файле /etc/resolv.conf должны содержаться записи следующего вида:
search test.dom
nameserver 192.168.76.47

Перед установкой сервера IPA убедитесь, что имя сервера (hostname) задано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network:

# cat /etc/sysconfig/network
HOSTNAME=dc1.test.dom
NETWORKING=yes
NISDOMAIN=test.dom

Инициализация сервера IPA

  • Выполните инициализацию домена:
ipa-server-install --setup-dns

Вначале вам будет выведено информационное сообщение о том, что будет сделано в ходе установки:

The log file for this installation can be found in /var/log/ipaserver-
install.log
=============================================================
This program will set up the IPA Server.
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the Network Time Daemon (ntpd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure DNS (bind)
To accept the default shown in brackets, press the Enter key.
  • Поскольку сервис bind уже установлен (он поставляется вместе с ОС в варианте «Стандартный сервер РОСА»), вам будет предложено изменить его конфигурацию. Согласитесь:
Existing BIND configuration detected, overwrite? [no]: y

Далее инициализация будет происходить в режиме «вопрос-ответ». При корректной сетевой настройке во всех случаях нужно выбирать предлагаемое по умолчанию значение, просто нажимая клавишу <Enter>:

Server host name [dc1.test.dom]:
Please confirm the domain name [test.dom]:
Please provide a realm name [TEST.DOM]:
  • Введите пароль (минимум 8 знаков) для служебного пользователя службы каталогов:
Directory Manager password:
  • Введите пароль для администратора IPA (пользователь admin):
IPA admin password:
  • При необходимости добавьте ретранслятор службы имён (DNS relay). Это нужно, если вы планируете использовать внешний сервер для обработки запросов службы имён DNS. Учитывайте, что по умолчанию сервер IPA предполагает использование собственного сервера имен, который развёртывается локально.
Do you want to configure DNS forwarders? [yes]:
  • Выберите [yes] (да) в случае, если имеется внешний ретранслятор службы имён, и [no] (нет) в противном случае.
  • Инициируйте создание обратной зоны для службы имён:
Do you want to configure the reverse zone? [yes]:
  • Затем вам будет предложено ещё раз проверить настройки и, если всё корректно, запустить процедуру инициализации домена:
Continue to configure the system with these values? [no]: y

Инициализация должна завершиться сообщением следующего вида:

 Setup complete
 Next steps:
 1. You must make sure these network ports are open:
 TCP Ports:
 * 80, 443: HTTP/HTTPS
 * 389, 636: LDAP/LDAPS
 * 88, 464: kerberos
 * 53: bind
 UDP Ports:
 * 88, 464: kerberos
 * 53: bind
 * 123: ntp
 2. You can now obtain a kerberos ticket using the command: 'kinit admin'
 This ticket will allow you to use the IPA tools (e.g., ipa user-add)
 and the web user interface.
 Be sure to back up the CA certificate stored in /root/cacert.p12
 This file is required to create replicas. The password for this
 file is the Directory Manager password
  • По окончании процедуры инициализации перезагрузите сервер.

Работа с сервером IPA через web-интерфейс

Теперь можно открыть веб-браузер и соединиться с узлом, на котором развернут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат.

Логин — admin, пароль — для администратора IPA, введённый при настройке.

FreeIPA.png

Теперь можно работать со службой каталогов.

FreeIPA 2.jpg

Повторная инициализация сервера

В случае возникновения ошибок при инициализации домена проведите его удаление командой:

ipa-server-install --uninstall

Проверьте настройки ещё раз и повторите инициализацию.

После инициализации сервера IPA к нему можно подключать рабочие станции.