Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ» — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
(Установка)
Строка 49: Строка 49:
  
 
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:
 
В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:
 +
hostnamectl dc1.test.dom
 +
 
  Имя: dc1.test.dom
 
  Имя: dc1.test.dom
 
  IP:192.168.76.47/24
 
  IP:192.168.76.47/24
 +
Gataway: 192.168.76.1
 +
DNS: 8.8.8.8
  
 
=== Установка сервера IPA и настройка его окружения ===
 
=== Установка сервера IPA и настройка его окружения ===
 
* Установите оснастку для сервера IPA:
 
* Установите оснастку для сервера IPA:
  yum install bind-dyndb-ldap bind ipa-server
+
  yum install bind-dyndb-ldap bind ipa-server ipa-server-dns
  
 
* Проверьте корректность сетевых параметров в файле /etc/hosts:
 
* Проверьте корректность сетевых параметров в файле /etc/hosts:
 +
hostnamectl status
 
  cat /etc/hosts
 
  cat /etc/hosts
  
Содержимое файла должно иметь следующий вид:
+
Содержимое файла hosts должно иметь следующий вид:
 
  127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
 
  127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
 
  ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
 
  ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
Строка 75: Строка 80:
 
  NETWORKING=yes
 
  NETWORKING=yes
 
  NISDOMAIN=test.dom
 
  NISDOMAIN=test.dom
 +
 +
Так как при установке FreeIPA настройки для SELINUX устанавливаются автоматически то отключать нет смысла.
  
 
=== Инициализация сервера IPA ===
 
=== Инициализация сервера IPA ===
* Выполните инициализацию домена:
+
* Выполните настройку IPA сервера:
  ipa-server-install --setup-dns
+
  ipa-server-install
 +
 
 +
<pre>
 +
= вывод команды с необходимыми изменениями =
 +
Файл журнала для этой установки можно найти в файле /var/log/ipaserver-install.log
 +
===================================
 +
Данная программа позволит настроить IPA Server.
 +
 
 +
Это включает в себя:
 +
* Настроить изолированный CA (dogtag) для управления сертификатами
 +
* Настройка сетевого времени Демон (ntpd)
 +
* Создать и настроить Directory Server
 +
* Создание и настройка центра распространения ключей kerberos (KDC)
 +
* Настроить Apache (httpd)
 +
 
 +
Чтобы принять значения по умолчанию указаны в скобках, нажмите клавишу Enter.
 +
 
 +
Вы хотите настроить DNS, интегрированной (BIND)? [no]: !!! yes
 +
</pre>
 +
'''Вы хотите настроить DNS, интегрированной (BIND)? [no]: yes'''
 +
 
 +
<pre>
 +
Введите полное доменное имя компьютера
 +
на что вы настраиваете программное обеспечение сервера.
 +
Используя форму
 +
<hostname>.<domainname>
 +
Пример: dc1.test.dom
 +
 
 +
Имя хоста сервера [dc1.test.dom]: enter
 +
</pre>
 +
'''Имя хоста сервера [dc1.test.dom]: enter'''
 +
 
 +
<pre>
 +
Предупреждение: пропуск разрешение DNS-узла dc1.test.dom
 +
Имя домена определяется на основе имени узла.
 +
 
 +
Пожалуйста, подтвердите имя домена [test.dom]: enter
 +
</pre>
 +
 
 +
'''Пожалуйста, подтвердите имя домена [test.dom]: enter '''
 +
<pre>
 +
Протокол kerberos требует имя области должны быть определены.
 +
Обычно это доменное имя преобразуется в верхний регистр.
 +
 
 +
Пожалуйста, укажите имя области [TEST.DOM]: !!! enter
 +
</pre>
 +
'''Пожалуйста, укажите имя области [TEST.DOM]: enter'''
 +
<pre>
 +
Определенных операций сервера каталогов требуют права администратора.
 +
Этот пользователь называется менеджер каталога и имеет полный доступ
 +
каталог для задачи управления системой и будет добавлено
 +
экземпляр сервера каталога созданы для ipa.
 +
Пароль должен быть минимум 8 символов.
 +
 
 +
Directory Manager пароль: ********
 +
Пароль (подтверждение): ********
 +
 
 +
IPA сервер требует права администратора, по имени 'admin'.
 +
Этот пользователь является регулярным системе учетная запись, используемая для управления IPA сервера.
  
Вначале вам будет выведено информационное сообщение о том, что будет сделано в ходе установки:
+
Пароль администратора IPA: ********
The log file for this installation can be found in /var/log/ipaserver-
+
Пароль (подтверждение): ********
install.log
+
</pre>
=============================================================
+
Вводим пароли...
This program will set up the IPA Server.
+
This includes:
+
* Configure a stand-alone CA (dogtag) for certificate management
+
* Configure the Network Time Daemon (ntpd)
+
* Create and configure an instance of Directory Server
+
* Create and configure a Kerberos Key Distribution Center (KDC)
+
* Configure Apache (httpd)
+
* Configure DNS (bind)
+
To accept the default shown in brackets, press the Enter key.
+
  
* Поскольку сервис ''bind'' уже установлен (он поставляется вместе с ОС в варианте «Стандартный сервер РОСА»), вам будет предложено изменить его конфигурацию. Согласитесь:
+
<pre>
Existing BIND configuration detected, overwrite? [no]: y
+
Checking DNS domain test.dom., please wait ...
 +
Do you want to configure DNS forwarders? [yes]: enter
 +
</pre>
 +
'''Do you want to configure DNS forwarders? [yes]: enter'''
 +
<pre>
 +
Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4
 +
Do you want to configure these servers as DNS forwarders? [yes]: enter
 +
All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now:
 +
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8
 +
</pre>
 +
'''Do you want to configure these servers as DNS forwarders? [yes]: !!! enter '''
 +
Здесь вводим Google DNS (либо провайдерские).
  
Далее инициализация будет происходить в режиме «вопрос-ответ». При корректной сетевой настройке во всех случаях нужно выбирать предлагаемое по умолчанию значение, просто нажимая клавишу <Enter>:
+
<pre>
Server host name [dc1.test.dom]:
+
DNS forwarder 8.8.8.8 added. You may add another.
Please confirm the domain name [test.dom]:
+
Enter an IP address for a DNS forwarder, or press Enter to skip:  
Please provide a realm name [TEST.DOM]:
+
Checking DNS forwarders, please wait ...
 +
Do you want to search for missing reverse zones? [yes]: !!! enter
 +
Do you want to create reverse zone for IP 192.168.76.47 [yes]: !!! enter
 +
</pre>
 +
'''Enter an IP address for a DNS forwarder, or press Enter to skip: enter'''
 +
'''Do you want to search for missing reverse zones? [yes]: enter'''
 +
'''Do you want to create reverse zone for IP 192.168.76.47 [yes]: enter'''
  
* Введите пароль (минимум 8 знаков) для служебного пользователя службы каталогов:
+
<pre>
Directory Manager password:
+
Please specify the reverse zone name [0.168.192.in-addr.arpa.]:  
 +
Using reverse zone(s) 0.168.192.in-addr.arpa.
  
* Введите пароль для администратора IPA (пользователь admin):
+
The IPA Master Server will be configured with:
IPA admin password:
+
Hostname: dc1.test.dom
 +
IP address(es): 192.168.76.47
 +
Domain name: test.dom
 +
Realm name: TEST.DOM
  
* При необходимости добавьте ретранслятор службы имён (DNS relay). Это нужно, если вы планируете использовать внешний сервер для обработки запросов службы имён DNS. Учитывайте, что по умолчанию сервер IPA предполагает использование собственного сервера имен, который развёртывается локально.
+
BIND DNS server will be configured to serve IPA domain with:
Do you want to configure DNS forwarders? [yes]:
+
Forwarders: 8.8.4.4, 8.8.8.8
 +
Forward policy: only
 +
Reverse zone(s): 0.168.192.in-addr.arpa.
  
* Выберите <code>[yes]</code>, если имеется внешний ретранслятор службы имён, и <code>[no]</code> в противном случае.
+
Продолжить настройку системы с этими значениями? [no]: yes
 +
</pre>
 +
'''Продолжить настройку системы с этими значениями? [no]: yes'''
  
* Инициируйте создание обратной зоны для службы имён:
+
Проверяем все ли правильно ввели. Если всё ОК, жмем YES и дальше...
Do you want to configure the reverse zone? [yes]:
+
  
* Затем вам будет предложено ещё раз проверить настройки и, если всё корректно, запустить процедуру инициализации домена:
+
<pre>
Continue to configure the system with these values? [no]: y
+
Следующие операции могут занимать несколько минут.
 +
Пожалуйста, подождите, пока не вернетесь в приглашение.
 +
</pre>
  
Инициализация должна завершиться сообщением следующего вида:
+
Установка должна завершиться сообщением следующего вида:
 +
<pre>
 
   Setup complete
 
   Setup complete
 
   Next steps:
 
   Next steps:
Строка 138: Строка 221:
 
   This file is required to create replicas. The password for this
 
   This file is required to create replicas. The password for this
 
   file is the Directory Manager password
 
   file is the Directory Manager password
 +
</pre>
  
* По окончании процедуры инициализации перезагрузите сервер:
+
* По окончании процедуры устанвки перезагрузите сервер:
  
 
  reboot
 
  reboot

Версия 21:31, 17 июня 2019

Назначение

В инструкции описан процесс развёртывания сервера IPA (Identification, Policy and Audit). Сервер IPA предназначен для организации единой службы аутентификации в OC семейства ROSA Linux, других популярных современных версиях ОС Linux, ОС семейства Windows, а также некоторых других ОС.

Конструктивно сервер IPA представляет собой связку из сервера MIT Kerberos, LDAP 389 Directory, сервера NTP для обеспечения единого времени и сервера имён для обслуживаемых доменов.

Возможна настройка общего хранилища на базе NFS с аутентификацией по билетам Kerberos, а также доступны некоторые политики безопасности (только для Linux/UNIX), включая политики sudo, парольные политики, включение в домен рабочих станций и т. п.

Администратору предоставляется удобный интерфейс администрирования с помощью встроенного HTTP(S)-сервера. Вы можете управлять развёрнутым сервером IPA прямо из браузера по защищённому HTTPS-соединению. Также поддерживается объединение доменов AD и IPA с помощью функций взаимного доверия (TRUST). Сервер IPA поддерживает функцию двухфакторной аутентификации (с помощью внешнего привлекаемого сервера RADIUS). Помимо веб-интерфейса, доступно администрирование сервера с помощью командной строки.

Список поддерживаемых клиентских ОС

ОС семейства Linux:

  • ROSA Enterprise Desktop X2 и выше
  • ROSA Enterprise Linux Server/Desktop 6.3 и выше
  • РОСА «КОБАЛЬТ»
  • ROSA Fresh R6 и выше
  • Red Hat Enterprise Linux 5.х и выше
  • CentOS Linux 6.х и выше
  • Fedora Linux 18 и выше
  • Ubuntu Linux 13.04 и выше
  • SUSE (SLES) Linux 10 и выше

ОС семейства Windows:

  • Microsoft Windows 7 и выше

UNIX-совместимые ОС:

  • FreeBSD 9 и выше

ОС семейства UNIX:

  • Solaris 8 и выше
  • Mac OS X 10.4 (Tiger) и выше
  • HP-UX 11.23 и выше
  • IBM AIX 5.3 и выше

Планируется поддержка:

  • Альт Линукс СПТ 8.0 и выше

Безопасность

ОС РОСА «КОБАЛЬТ» соответствует требованиям методического документа ФСТЭК «Профиль защиты операционных систем типа «А» четвёртого класса» (ИТ.ОС.А4.ПЗ). Прочие вышеперечисленные ОС поддерживают работу в среде IPA, но большинство из них не имеют аналогичного класса защищённости и не могут применяться в защищённых АС без использования дополнительных средств защиты либо без согласования с органом по аттестации.

Установка

Предполагается, что на момент настройки контроллера домена у вас есть сервер с установленной ОС RELS/РОСА «КОБАЛЬТ» в варианте «Стандартный сервер РОСА».

Для RELS нужно получить и установить в файл /etc/rosa-support-id-server лицензионный ключ, после чего произвести обновление:

yum update

Все приведённые команды выполняются от имени администратора (root).

В примерах, приводимых в данной инструкции, мы предполагаем, что сервер имеет следующие сетевые настройки:

hostnamectl dc1.test.dom
Имя: dc1.test.dom
IP:192.168.76.47/24
Gataway: 192.168.76.1
DNS: 8.8.8.8

Установка сервера IPA и настройка его окружения

  • Установите оснастку для сервера IPA:
yum install bind-dyndb-ldap bind ipa-server ipa-server-dns
  • Проверьте корректность сетевых параметров в файле /etc/hosts:
hostnamectl status
cat /etc/hosts

Содержимое файла hosts должно иметь следующий вид:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.76.47 dc1.test.dom dc1

Последняя строка должна указывать на сервер.

  • Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция domain или search. В файле /etc/resolv.conf должны содержаться записи следующего вида:
search test.dom
nameserver 192.168.76.47

Перед установкой сервера IPA убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network:

# cat /etc/sysconfig/network
HOSTNAME=dc1.test.dom
NETWORKING=yes
NISDOMAIN=test.dom

Так как при установке FreeIPA настройки для SELINUX устанавливаются автоматически то отключать нет смысла.

Инициализация сервера IPA

  • Выполните настройку IPA сервера:
ipa-server-install
= вывод команды с необходимыми изменениями =
Файл журнала для этой установки можно найти в файле /var/log/ipaserver-install.log
===================================
Данная программа позволит настроить IPA Server.

Это включает в себя:
* Настроить изолированный CA (dogtag) для управления сертификатами
* Настройка сетевого времени Демон (ntpd)
* Создать и настроить Directory Server
* Создание и настройка центра распространения ключей kerberos (KDC)
* Настроить Apache (httpd)

Чтобы принять значения по умолчанию указаны в скобках, нажмите клавишу Enter.

Вы хотите настроить DNS, интегрированной (BIND)? [no]: !!! yes

Вы хотите настроить DNS, интегрированной (BIND)? [no]: yes

Введите полное доменное имя компьютера
на что вы настраиваете программное обеспечение сервера. 
Используя форму
<hostname>.<domainname>
Пример: dc1.test.dom

Имя хоста сервера [dc1.test.dom]: enter

Имя хоста сервера [dc1.test.dom]: enter

Предупреждение: пропуск разрешение DNS-узла dc1.test.dom
Имя домена определяется на основе имени узла.

Пожалуйста, подтвердите имя домена [test.dom]: enter

Пожалуйста, подтвердите имя домена [test.dom]: enter

Протокол kerberos требует имя области должны быть определены.
Обычно это доменное имя преобразуется в верхний регистр.

Пожалуйста, укажите имя области [TEST.DOM]: !!! enter

Пожалуйста, укажите имя области [TEST.DOM]: enter

Определенных операций сервера каталогов требуют права администратора.
Этот пользователь называется менеджер каталога и имеет полный доступ
каталог для задачи управления системой и будет добавлено
экземпляр сервера каталога созданы для ipa.
Пароль должен быть минимум 8 символов.

Directory Manager пароль: ******** 
Пароль (подтверждение): ********

IPA сервер требует права администратора, по имени 'admin'.
Этот пользователь является регулярным системе учетная запись, используемая для управления IPA сервера.

Пароль администратора IPA: ********
Пароль (подтверждение): ********

Вводим пароли...

Checking DNS domain test.dom., please wait ...
Do you want to configure DNS forwarders? [yes]: enter

Do you want to configure DNS forwarders? [yes]: enter

Following DNS servers are configured in /etc/resolv.conf: 8.8.4.4
Do you want to configure these servers as DNS forwarders? [yes]: enter 
All DNS servers from /etc/resolv.conf were added. You can enter additional addresses now:
Enter an IP address for a DNS forwarder, or press Enter to skip: 8.8.8.8

Do you want to configure these servers as DNS forwarders? [yes]: !!! enter Здесь вводим Google DNS (либо провайдерские).

DNS forwarder 8.8.8.8 added. You may add another.
Enter an IP address for a DNS forwarder, or press Enter to skip: 
Checking DNS forwarders, please wait ...
Do you want to search for missing reverse zones? [yes]: !!! enter
Do you want to create reverse zone for IP 192.168.76.47 [yes]: !!! enter

Enter an IP address for a DNS forwarder, or press Enter to skip: enter Do you want to search for missing reverse zones? [yes]: enter Do you want to create reverse zone for IP 192.168.76.47 [yes]: enter

Please specify the reverse zone name [0.168.192.in-addr.arpa.]: 
Using reverse zone(s) 0.168.192.in-addr.arpa.

The IPA Master Server will be configured with:
Hostname: dc1.test.dom
IP address(es): 192.168.76.47
Domain name: test.dom
Realm name: TEST.DOM

BIND DNS server will be configured to serve IPA domain with:
Forwarders: 8.8.4.4, 8.8.8.8
Forward policy: only
Reverse zone(s): 0.168.192.in-addr.arpa.

Продолжить настройку системы с этими значениями? [no]: yes

Продолжить настройку системы с этими значениями? [no]: yes

Проверяем все ли правильно ввели. Если всё ОК, жмем YES и дальше...

Следующие операции могут занимать несколько минут.
Пожалуйста, подождите, пока не вернетесь в приглашение.

Установка должна завершиться сообщением следующего вида:

  Setup complete
  Next steps:
  1. You must make sure these network ports are open:
  TCP Ports:
  * 80, 443: HTTP/HTTPS
  * 389, 636: LDAP/LDAPS
  * 88, 464: kerberos
  * 53: bind
  UDP Ports:
  * 88, 464: kerberos
  * 53: bind
  * 123: ntp
  2. You can now obtain a kerberos ticket using the command: 'kinit admin'
  This ticket will allow you to use the IPA tools (e.g., ipa user-add)
  and the web user interface.
  Be sure to back up the CA certificate stored in /root/cacert.p12
  This file is required to create replicas. The password for this
  file is the Directory Manager password
  • По окончании процедуры устанвки перезагрузите сервер:
reboot

Работа с сервером IPA через web-интерфейс

Теперь можно открыть браузер и соединиться с узлом, на котором развернут сервер IPA, по HTTP или HTTPS. Учитывайте, что по умолчанию на сервер IPA устанавливается самоподписанный сертификат.

Введите: Username — admin, Password — пароль для администратора IPA, заданный при настройке.

FreeIPA.png

Теперь можно работать со службой каталогов.

FreeIPA 2.jpg

Повторная инициализация сервера

  • Если при инициализации домена возникли ошибки, удалите его:
ipa-server-install --uninstall
  • Проверьте настройки ещё раз и повторите инициализацию.

После инициализации сервера IPA к нему можно подключать рабочие станции.