База знаний
Войти

Установка Dynamic Directory

В процессе развертывания сервера службы каталогов администратор должен сначала осуществить установку ОС на физический сервер или ВМ, а затем выполнить консольный интерактивный сценарий установки Dynamic Directory, используя консольную утилиту ipa-server-install.

Установка ОС на сервер

Установка ОС на сервер осуществляется администратором с использованием носителя с дистрибутивом РОСА Центр Управления из комплекта поставки.

Для запуска программы установки ОС требуется провести загрузку сервера с этого носителя.

На экране последовательно появятся меню программы установки, интерфейс для выбора языка сопровождения установки и меню "Обзор установки", предназначенное для обзора и последующей настройки параметров установки (рисунок 2).

Рисунок 2 — Обзор установки

Меню "Обзор установки" содержит тематические секции, в которые сгруппированы соответствующие параметры установки. Следует обратить внимание, что вместо последовательного определения параметров программа установки дает возможность настроить параметры в произвольном порядке выбором необходимых секций в меню "Обзор установки".

Под наименованием каждой секции приводится информация о текущих параметрах, настроенных автоматически программой установки.

Необходимо убедиться, что в секции "Место установки" автоматически настроен параметр "Локальный носитель".

Для перехода к интерфейсу настройки соответствующих параметров требуется нажать на наименование секции "Выбор программ".

В секции "Выбор программ" нужно установить переключатель "Базовое окружение" в положение "Служба каталогов Dynamic Directory" для установки соответствующего базового ПО на сервер и нажать кнопку Готово (рисунок 3) для возвращения в меню "Обзор установки".

Рисунок 3 — Выбор секции установки

В секции "Место установки" нужно выбрать необходимый диск и установить переключатель "Конфигурация устройств хранения данных" в положение "Автоматически".

В секции "Имя сети и узла" необходимо задать полное доменное имя сервера службы каталогов Dynamic Directory, которое должно быть доменным именем по крайней мере третьего уровня (например, dd.rosa.dev, где dd – краткое имя хоста, а rosa.dev – домен, в котором служба каталогов будет выполнять функции контроллера домена).

Следует обратить внимание, что служба каталогов не поддерживает работу с доменом первого уровня. При этом допускается использование домена, начиная с третьего уровня и далее.

Для функционирования службы каталогов Dynamic Directory необходим уникальный домен. При выборе домена необходимо избегать использования доменов home.arpa. и local. даже в целях тестирования. Домен home.arpa. выделен IETF для использования в локальных сетях, но глобально обозначен в DNS как занятый и используемый IANA. Домен local. используется с mDNS, что может приводить к проблемам с загрузкой хостов по сети при использовании этого домена.

Далее нужно подключить необходимый сетевой интерфейс сервера службы каталогов и настроить параметры сетевого соединения – IP-адрес (например, 10.0.0.2), маску сети (например, 255.255.0.0), шлюз по умолчанию (например, 10.0.0.1).

Необходимо обратить внимание, что IP-адрес сетевого интерфейса сервера службы каталогов Dynamic Directory требуется задавать только статическим. Таким образом, заданный IP-адрес контроллера домена не изменится впоследствии, и зарегистрированные в домене хосты не потеряют связь с контроллером.

В секции "Пароль root" нужно установить пароль для учетной записи суперпользователя root.

После настройки всех обязательных параметров нужно нажать кнопку Начать установку для запуска процесса установки ОС сервера службы каталогов Dynamic Directory.

После завершения процесса установки ОС необходимо нажать кнопку Перезагрузка системы.

После перезагрузки Системы на экране появится строка приглашения командного интерпретатора для входа в ОС сервера службы каталогов Dynamic Directory.

Миграция сервера с версии 8.7 на 9.x

При переходе работающей Системы, в которой уже существуют созданные ранее подразделения, пользователи, политики, делегирования и введенные в домен АРМы, с ОС ROSA Enterprise Linux Server версии 8.7 на версию 9.х или следует воспользоваться следующим порядком действий:

  1. установить сервер Dynamic Directory версии 9.х;
  2. обновить на сервере с версией 8.7 службу каталогов 389ds, установив 3 пакета (предоставляются отдельно):
  • 389-ds-base-1.4.3.39-8.res8.x86_64.rpm;
  • 389-ds-base-libs-1.4.3.39-8.res8.x86_64.rpm;
  • python3-lib389-1.4.3.39-8.res8.noarch.rpm;
  1. на установленном сервере Dynamic Directory с версией 9.х заменить файл 87-dd-policy-cleaner.update (предоставляется отдельно) в директории /usr/share/ipa/updates/;
  2. cделать репликацию с сервера версии 8.7, добавив к параметрам "--setup-ca --setup-adtrust":
ipa-replica-install --mkhomedir -w p@$$w0rd --setup-dns --setup-ca --setup-adtrust --forwarder=11.22.33.1
  1. выполнить изменение сервера обновления сертификатов:
kinit admin
ipa config-mod --ca-renewal-master-server FQDN_Сервера_9.4(9.5)
  1. на серверах, где IP-адресация указана статичной, нужно изменить DNS на сервер с версией 9.х;
  2. удалить сервер версии 8.7 из топологии:
kinit admin
ipa server-del FQDN_Сервера_8.7
  1. выключить сервер версии 8.7;
  2. выполнить скрипт admpc migrate_res9.py (предоставляется отдельно), указав в DNS новый сервер версии 9.х;
  3. проверить работоспособность Системы;
  4. создать новые политики и проверить корректность их работы;
  5. создать новый сервер версии на 9.х (рекомендуется такой же адрес, что был у сервера версии 8.7);
  6. провести репликацию нового сервера с уже работающим сервером версии 9.х;
  7. убедиться, что Система работоспособна.

Обновление до версии 9.5

В случае использования службы каталогов на базе Dynamic Directory и ее установки с помощью дистрибутива версии 9.4 необходимо подключить репозиторий ipa-dd, выполнив команды:

dnf makecache
dnf install -y rosa-release-ipa-dd

В случае использования службы каталогов на базе чистой FreeIPA и ее установки с помощью дистрибутива версии 9.4 необходимо подключить репозиторий ipa, выполнив команду:

dnf makecache
dnf install -y rosa-release-ipa

Далее обновление выполняется штатным методом командами:

dnf makecache
dnf update

При обновлении пакетов ipa-server и dd-server также требуется выполнить команду:

ipa-server-upgrade

Выполнение сценария установки службы каталогов

Установка службы каталогов осуществляется консольной утилитой ipa-server-install.

Примечание – Сценарий установки ipa-server-install создает файл журнала var/log/ipaserver-install.log. В случае неудачной установки службы каталогов можно просмотреть записи этого журнала для выявления проблемы в процессе установки.

По умолчанию служба каталогов устанавливается со встроенной службой DNS и со встроенным центром сертификации CA в качестве корневого удостоверяющего центра. Для установки сервера сертификации используется самоподписанный сертификат. Описание установки с использованием сертификата, выпущенного сторонним сервером сертификации, приведено в п. Установка с использованием сертификата. В этом случае устанавливаемый центр сертификации будет подчинённым по отношению к серверу, выпустившему для него сертификат.

Для запуска интерактивного сценария установки нужно осуществить вход в ОС сервера службы каталогов Dynamic Directory от имени учетной записи суперпользователя root и выполнить следующую консольную команду:

ipa-server-install --setup-dns --mkhomedir

Если планируется создание сервера с именем DNS-зоны (прямой или обратной), которая разрешается настроенным в Системе сервером DNS (уже делегирована другому серверу), также необходимо использовать параметр "--allow-zone-overlap":

ipa-server-install --setup-dns --mkhomedir --allow-zone-overlap

Далее сценарий установки предложит задать значения параметров сервера – имя хоста службы каталогов, имя домена и имя области Kerberos:

Server host name [dd.rosa.dev]:
Please confirm the domain name [rosa.dev]:
Please provide a realm name [ROSA.DEV]:

Чтобы принять значения, нужно нажать клавишу Enter.

Для изменения параметра по умолчанию можно ввести требуемое значение.

Затем следует установить (ввести и подтвердить) пароли для суперпользователя службы каталогов LDAP (Directory Manager) и для пользовательской административной учетной записи admin службы каталогов (IPA admin):

Directory Manager password:
Password (confirm):
IPA admin password:
Password (confirm):

Далее сценарий установки предложит настроить перенаправление DNS:

Do you want to configure DNS forwarders? [yes]:

Указанные перенаправители должны быть доступны во время установки Системы, так как при указании недоступных перенаправителей установка будет прервана. Если на момент конфигурирования сервера перенаправители по какой-либо причине недоступны, можно их не указывать, а добавить позже.

Если перенаправление DNS конфигурировать не нужно, следует ввести no.

Для настройки перенаправления DNS нужно нажать клавишу Enter или ввести yes.

Следует обратить внимание, что если в качестве перенаправителя указан сервер без DNSSEC валидации, то на настраиваемом сервере DNSSEC валидация будет отключена автоматически.

Если на перенаправителях включено подписание зон с помощью DNSSEC, что типично для общедоступных DNS-серверов, но в настраиваемой системе необходимо отключить именно валидацию (например, при построении доверия с доменом Active Directory, в котором подписание зон DNSSEC не используется), следует указать опцию --no-dnssec-validation при выполнении команды ipa-server-install.

После этого сценарий установки предложит проверить, нужно ли настроить какие-либо обратные записи DNS для IP-адресов, связанных со службой каталогов. Следует обратить внимание, что для установки и функционирования реплик Системы необходимо наличие PTR-записи о них в обратной зоне. Для подтверждения следует нажать клавишу Enter или ввести yes:

Do you want to search for missing reverse zones? [yes]:

Если в результате поиска будут обнаружены отсутствующие обратные зоны, сценарий установки запросит, нужно ли создать обратные зоны для соответствующих обратных записей DNS. Для подтверждения нужно нажать клавишу Enter:

Do you want to create reverse zone for IP 10.0.0.2 [yes]:
Please specify the reverse zone name [0.0.10.in-addr.arpa.]:
Using reverse zone(s) 0.0.10.in-addr.arpa.

Для настройки NetBIOS нужно ввести имя или, если устраивает значение по умолчанию, нажать клавишу Enter.

При необходимости редактирования NTP-сервера следует набрать символ "y". Если можно оставить значение по умолчанию, то нажать клавишу Enter (рисунок 4).

Рисунок 4 — Сценарий установки

Для подтверждения всех сделанных настроек конфигурации службы каталогов следует ввести yes:

Continue to configure the system with these values? [no]: yes

Сценарий приступит к установке службы каталогов в соответствии с заданной конфигурацией.

После завершения установки службы каталогов на экране появится соответствующее сообщение, сценарий установки порекомендует сделать резервную копию сертификата корневого центра сертификации CA и убедиться в том, что требуемые сетевые порты сервера службы каталогов открыты для входящих соединений.

Далее на сервере необходимо отключить или настроить брандмауэр:

– команда отключения брандмауэра:

systemctl stop firewalld

– команда настройки брандмауэра:

firewall-cmd --add-service=freeipa-4 --add-service=dns --add-service=ntp --add-service=freeipa-replication --permanent && firewall-cmd --reload

– вариант команды настройки брандмауэра, в том числе для организации доверительных отношений с лесом MS AD:

firewall-cmd --add-service=freeipa-4 --add-service=dns --add-service=ntp --add-service=freeipa-replication --add-service=freeipa-trust --permanent && firewall-cmd --reload

После выполнения конфигурации сервера нужно выполнить команду dd-sssd-config, которая настроит SSSD для возможности входа на сервер пользователями, находящимися в расположениях отличных от стандартного:

dd-sssd-config

На этом установка основных служб Системы на сервере завершена.

Если планируется использование доверительных отношений с MS AD, необходимо также выполнить настройку компонента ipa-server-trust-ad, описанную в пункте 8.1.1 документа "Dynamic Directory. Руководство администратора. Часть 2. Эксплуатация".

После установки службы каталогов и настройки межсетевого экрана станет доступным вход в перспективы Dynamic Directory.

Установка с использованием сертификата

Для использования центром сертификации CA сертификата, выпущенного сторонним сервером сертификации, необходимо добавить опцию --external-ca, если сервер сертификации является сервером Microsoft; также необходимо указать его тип опцией --external-ca-type=ms-cs и OID профиля сертификата опцией --external-ca-profile.

Команда установки выглядит следующим образом:

ipa-server-install --setup-dns --mkhomedir --external-ca

Основные шаги установки аналогичны тем, что описаны п. Выполнение сценария установки службы каталогов, но установка разделена на два этапа.

На первом этапе требуется создать файл запроса сертификата *.csr, который оканчивается текстом:

The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

После этого необходимо, используя файл /root/ipa.csr, выпустить сертификат для сервера, применив сторонний центр сертификации. Далее скопировать полученный сертификат и CA-сертификат центра сертификации на настраиваемый сервер, например, под именами /root/ipa.cer и /root/ca.cer.

На втором этапе необходимо повторно выполнить команду ipa-server-install, дополнительно указав в опции --external-cert-file путь до сертификата сервера и CA-сертификата сервера сертификации, его выпустившего, например:

ipa-server-install --setup-dns --mkhomedir --external-cert-file /root/ipa.cer --external-cert-file /root/ext-ca.cer

Настройка дополнительного сервера Dynamic Directory

Для настройки дополнительного сервера (реплики) Dynamic Directory нужно выполнить следующие шаги:

  1. создать обратную запись DNS для нового сервера на установленном контроллере домена:
  • получить билет Kerberos от пользователя, имеющего права на обратную зону DNS, к которой принадлежит добавляемый сервер (или от имени пользователя admin), выполнив команду вида "kinit ЛОГИН_ПОЛЬЗОВАТЕЛЯ", например:
kinit admin
  • добавить PTR-запись в обратную зону, выполнив команду:
ipa dnsrecord-add ИМЯ_ОБРАТНОЙ_ЗОНЫ. ИМЯ_ЗАПИСИ --ptr-rec FQDN_СЕРВЕРА.

Например, для сервера с FQDN dc2-main.lin.rosa и IP-адресом 11.22.33.44 команда для добавления в зону 33.22.11.in-addr.arpa будет выглядеть так:

ipa dnsrecord-add 33.22.11.in-addr.arpa. 44 --ptr-rec dc2-main.lin.rosa.
  1. задать имя сервера в формате FQDN, используя команду hostnamectl или отредактировав файл /etc/hostname (при редактировании файла напрямую после внесения изменений необходимо перезапустить сервер), например, для сервера dc2-main и домена lin.rosa:
hostnamectl set-hostname dc2-main.lin.rosa
  1. в качестве DNS указать работающий сервер службы каталогов Dynamic Directory:
nmtui
  1. на создаваемой реплике отключить или настроить брандмауэр:
  • отключить брандмауэр:
systemctl stop firewalld
  • настроить брандмауэр:
firewall-cmd --add-service=freeipa-4 --add-service=dns --add-service=ntp --add-service=freeipa-replication --permanent && firewall-cmd --reload
  • настроить брандмауэр, в том числе для организации доверительных отношений с лесом MS AD:
firewall-cmd --add-service=freeipa-4 --add-service=dns --add-service=ntp --add-service=freeipa-replication --add-service=freeipa-trust --permanent && firewall-cmd --reload
  1. выполнить команду создания реплики:
ipa-replica-install --mkhomedir -w password --setup-dns --setup-ca --forwarder=11.22.33.1

При доверии с MS AD:

ipa-replica-install --mkhomedir -w password --setup-dns --setup-ca --setup-adtrust --forwarder=11.22.33.1

где:

  • --mkhomedir – создание домашних директорий при входе доменных пользователей;
  • -w password – пароль пользователя admin;
  • --setup-dns – установка реплики с DNS;
  • --setup-ca – установка реплики с интегрированным CA;
  • --setup-adtrust – установка доверительных отношений с MS AD;
  • --forwarder=11.22.33.1 – установка сервера с IP-адресом 11.22.33.1 в качестве сервера перенаправления DNS.

Примечания:

  1. Параметр --forwarder может использоваться несколько раз для указания нескольких серверов перенаправления.
  2. Вместо указания серверов перенаправления (параметр --forwarder) можно использовать --no-forwarders, тогда будет использоваться глобальная политика перенаправления DNS, если она настроена, либо перенаправление DNS использоваться не будет, если глобальная политика не настроена, или --auto-forwarders – серверы перенаправления DNS будут взяты из файла /etc/reslov.conf настраиваемого сервера.
  3. Если для подключения реплики используется пользователь, отличный от admin, необходимо указать его параметром -p, например "-p otheradmin".

После выполнения конфигурации сервера нужно выполнить команду dd-sssd-config, которая настроит SSSD для возможности входа на сервер пользователями, находящимися в расположениях, отличных от стандартного:

dd-sssd-config

Вывод из эксплуатации сервера Dynamic Directory

Подготовка к выводу из эксплуатации

Для вывода сервера из эксплуатации необходимо соблюдение следующих условий:

  • доступ к удаляемому серверу с root-привилегиями;
  • наличие учётных данных администратора Dynamic Directory;
  • удаление сервера не должно привести к отключению топологии, т.е. не нарушить связь между другими серверами в топологии;
  • выводимый из эксплуатации сервер не должен быть единственным сервером DNS, единственным сервером CA или единственным сервером KRA, не должен быть сервером обновления сертификатов и сервером генерации списка отзыва сертификатов. Роли сервера обновления сертификатов и сервера генерации списка отзыва сертификатов обычно имеет сервер, который был развёрнут первым (если роли не переназначались).

Для подготовки к выводу из эксплуатации требуется выполнение следующих шагов:

  1. проверить сервер на роли единственного сервера DNS, единственного сервера CA или единственного сервера KRA можно, выполнив на любом из контроллеров домена от имени администратора домена, команды:
$ ipa server-role-find --role 'CA server'
$ ipa server-role-find --role 'DNS server'
$ ipa server-role-find --role 'KRA server'

Примечание – Роль KRA не настраивается в установке по умолчанию и может отсутствовать.

  1. проверить сервер на роль сервера обновления сертификатов можно, выполнив на любом из контроллеров домена от имени администратора домена, команду:
$ ipa config-show |grep "Главный сервер обновления CA IPA"

Затем следует назначить новый сервер обновления сертификатов:

$ ipa config-mod --ca-renewal-master-server <FQDN_НОВОГО_СЕРВЕР>А
  1. проверить не является ли сервер сервером генерации списка отзыва сертификатов, выполнив на нём команду:
$ ipa-crlgen-manage status

Если в выводе указано "Enable", выполнить на выводимом из эксплуатации сервере команду:

$ ipa-crlgen-manage disable

А на другом сервере с ролью CA:

$ ipa-crlgen-manage enable

Если выводимый сервер недоступен, и неизвестно является ли он сервером генерации списка отзыва сертификатов, следует выполнить на всех серверах в инфраструктуре команду:

$ ipa-crlgen-manage status

и, если на всех серверах получен ответ "Disable", на одном из остающихся серверов нужно выполнить:

$ ipa-crlgen-manage enable
  1. на одном из серверов выполнить от имени администратора домена команду:
$ ipa-replica-manage dnarange-show

Диапазон DNA ID должен присутствовать на серверах, остающихся в топологии.

Если диапазон DNA ID присутствует только на выводимом из эксплуатации сервере, необходимо на другом сервере создать тестового пользователя и снова проверить диапазоны DNA ID, выполнив:

$ ipa-replica-manage dnarange-show

Вывод из эксплуатации

Для вывода из эксплуатации сервера Dynamic Directory на одном из серверов, остающихся в топологии, от имени администратора домена нужно выполнить команду:

$ ipa server-del <FQDN_УДАЛЯЕМОГО_СЕРВЕРА>

Если это приведёт к нарушению топологии или если сервер имеет уникальную роль, в выводе будет выдано соответствующее предупреждение. В этом случае следует отказаться от операции, добавить другим серверам уникальные роли и/или создать связи между серверами, которые остаются в эксплуатации, и затем повторить операцию.

Далее на сервере, выводимом из эксплуатации, выполнить команду:

$ ipa-server-install –uninstall

Для проверки необходимо убедиться, что в служебных DNS-записях типа SRV отсутствует выведенный из эксплуатации сервер. В случае наличия сервера в таких записях, нужно удалить данные о нём вручную.