База знаний
Войти

Установка СИПА

В процессе развертывания СИПА системный администратор должен сначала осуществить установку ОС на физический сервер или ВМ, а затем выполнить консольный интерактивный сценарий установки СИПА ipa-server-install.

Установка ОС на сервер СИПА

Установка ОС на сервер СИПА осуществляется системным администратором с использованием носителя с дистрибутивом РОСА Центр управления из комплекта поставки Комплекса.

Для запуска программы установки ОС требуется провести загрузку сервера СИПА с этого носителя.

На экране последовательно появятся меню программы установки, интерфейс для выбора языка сопровождения установки и меню "Обзор установки", предназначенное для обзора и последующей настройки параметров установки (рисунок 2).

Рисунок 2 — Обзор установки

Панель "Обзор установки" содержит тематические секции, в которые сгруппированы соответствующие параметры установки. Следует обратить внимание, что вместо последовательного определения параметров программа установки дает возможность настроить параметры в произвольном порядке выбором необходимых секций в меню "Обзор установки".

Под наименованием каждой секции приводится информация о текущих параметрах, настроенных автоматически программой установки.

Необходимо убедиться, что в секции "Место установки" автоматически настроен параметр "Локальный носитель".

Для перехода к интерфейсу настройки соответствующих параметров требуется нажать на наименование секции. После настройки параметров нужно нажать кнопку Готово для возвращения в меню "Обзор установки".

В секции "Выбор программ" указывают переключатель "Базовое окружение" в положение "Служба каталогов" для установки соответствующего базового ПО на сервер СИПА.

В секции "Место установки" выбирают необходимый диск и устанавливают переключатель "Конфигурация устройств хранения данных" в положение "Автоматически".

В секции "Имя сети и узла" необходимо задать полное доменное имя сервера СИПА, которое должно быть доменным именем по крайней мере третьего уровня (например, ipa.rosa.int, где ipa – краткое имя узла, а rosa.int – домен, в котором СИПА будет выполнять функции контроллера домена).

Следует обратить внимание, что СИПА не поддерживает работу с доменом первого уровня. При этом допускается использование домена, начиная с третьего уровня и далее.

Для функционирования СИПА необходим уникальный домен. При выборе домена необходимо избегать использования доменов home.arpa. и local. даже в целях тестирования. Домен home.arpa. выделен IETF для использования в локальных сетях, но глобально обозначен в DNS как занятый и используемый IANA. Домен local. используется с mDNS, что может приводить к проблемам с загрузкой узлов по сети при использовании этого домена.

Далее подключают необходимый сетевой интерфейс сервера СИПА и настраивают параметры сетевого соединения – IP-адрес (например, 10.0.0.2), маску сети (например, 255.255.0.0), шлюз по умолчанию (например, 10.0.0.1).

Необходимо обратить внимание, что IP-адрес сетевого интерфейса сервера СИПА требуется задавать только статическим. Таким образом, заданный IP-адрес контроллера домена не изменится впоследствии, и зарегистрированные в домене узлы не потеряют связь с контроллером.

В секции "Пароль root" устанавливают пароль для учетной записи суперпользователя root.

После настройки всех обязательных параметров нужно нажать кнопку Начать установку для запуска процесса установки ОС сервера СИПА.

После завершения процесса установки ОС необходимо нажать кнопку Перезагрузка системы.

После перезагрузки системы на экране появится строка приглашения командного интерпретатора для входа в ОС сервера СИПА.

Выполнение сценария установки СИПА

Установка СИПА осуществляется консольной утилитой ipa-server-install.

Примечание – Сценарий установки ipa-server-install создает файл журнала var/log/ipaserver-install.log. В случае неудачной установки СИПА можно просмотреть записи этого журнала для выявления проблемы в процессе установки.

По умолчанию СИПА устанавливается со встроенной службой DNS и со встроенным центром сертификации CA в качестве корневого удостоверяющего центра.

Для запуска интерактивного сценария установки нужно осуществить вход в ОС сервера СИПА от имени учетной записи суперпользователя root и выполнить следующую консольную команду:

ipa-server-install

Сценарий установки предложит настроить встроенную службу DNS. Для подтверждения нужно ввести yes:

Do you want to configure integrated DNS (BIND)? [no]: yes

Далее сценарий установки предложит определенные значения по умолчанию для следующих параметров – имя узла СИПА, имя домена и имя области Kerberos:

Server host name [ipa.rosa.int]:
Please confirm the domain name [rosa.int]:
Please provide a realm name [ROSA.INT]:

Чтобы принять предложенные значения по умолчанию, нужно нажать клавишу Enter.

Для изменения параметра по умолчанию вводят необходимое значение.

Затем требуется установить (ввести и подтвердить) пароли для суперпользователя службы каталогов LDAP (Directory Manager) и для пользовательской административной учетной записи admin СИПА (IPA admin):

Directory Manager password:
Password (confirm):
IPA admin password:
Password (confirm):

Далее сценарий установки предложит настроить перенаправление DNS:

Do you want to configure DNS forwarders? [yes]:

Если перенаправление DNS конфигурировать не нужно, вводят no.

Для настройки перенаправления DNS нажимают клавишу Enter или вводят yes. Сценарий установки запросит и затем добавит IP-адреса средств перенаправления в файл /etc/named.conf.

После этого сценарий установки предложит проверить, нужно ли настроить какие-либо обратные записи DNS для IP-адресов, связанных с СИПА. Для подтверждения следует нажать клавишу Enter или ввести yes:

Do you want to search for missing reverse zones? [yes]:

Если в результате поиска будут обнаружены отсутствующие обратные зоны, сценарий установки спросит, нужно ли создать обратные зоны для соответствующих обратных записей DNS. Для подтверждения нужно нажать клавишу Enter:

Do you want to create reverse zone for IP 10.0.0.2 [yes]:
Please specify the reverse zone name [0.0.10.in-addr.arpa.]:
Using reverse zone(s) 0.0.10.in-addr.arpa.

Для подтверждения всех сделанных настроек конфигурации СИПА следует ввести yes:

Continue to configure the system with these values? [no]: yes

Сценарий приступит к установке СИПА в соответствии с заданной конфигурацией.

После завершения установки СИПА на экране появится соответствующее сообщение, а также сценарий установки порекомендует сделать резервную копию сертификата корневого центра сертификации CA и убедиться в том, что требуемые сетевые порты сервера СИПА открыты для входящих соединений.

Для открытия необходимых портов сервера СИПА (в зоне default службы межсетевого экрана firewalld) выполняют следующую консольную команду:

firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp, 636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp}

Для применения изменений необходимо перезагрузить конфигурацию межсетевого экрана, выполнив следующую консольную команду:

firewall-cmd --reload

После установки СИПА и настройки межсетевого экрана станет доступным вход в веб-интерфейс управления СИПА.

Доступ к веб-интерфейсу СИПА

Для доступа к веб-интерфейсу управления СИПА нужно ввести в адресной строке браузера (на внешней рабочей станции) доменное имя сервера СИПА, например:

https://ipa.rosa.int

На экране появится страница авторизации веб-интерфейса (рисунок 3).

Рисунок 3 — Страница авторизации СИПА

Для входа в интерфейс требуется ввести имя и пароль пользователя в соответствующие поля, после чего нажать кнопку Войти.

Примечание – Первичный вход в веб-интерфейс управления СИПА осуществляется от имени учетной записи администратора admin.