Установка сервера IPA
В составе ROSA Virtualization сервер IPA функционирует в качестве сервера каталогов LDAP и предназначен для идентификации и аутентификации доменных пользователей.
Сервер IPA может быть развернут как на отдельном физическом сервере без предустановленной ОС, так и на ВМ под управлением ROSA Virtualization.
Для установки сервера IPA на ВМ под управлением ROSA Virtualization предварительно создайте новую ВМ на портале администрирования СУСВ, а также загрузите образ с дистрибутивом (файл RV-3.1-20250224.0-rv-x86_64-dvd1.iso) в хранилище в подкаталог /iso.
Для установки сервера IPA на отдельный физический сервер используйте DVD-диск с дистрибутивом ROSA Virtualization или ранее созданный сменный носитель с записанным на него образом дистрибутива.
Создание ВМ для сервера IPA
Для создания новой ВМ для сервера IPA авторизуйтесь на Портале администрирования СУСВ. На экране появится интерфейс Портала администрирования с главным меню СУСВ.
В главном меню СУСВ выберите пункт "Ресурсы → Виртуальные машины" и нажмите кнопку Добавить.
На экране появится вкладка "Общие" окна "Новая ВМ" (рисунок 76).
В поле "Имя" введите уникальное наименование для новой ВМ (например, Server-IPA).
Рисунок 76 – Вкладка "Общие" окна "Новая ВМ"для создания новой виртуальной машины
Для создания виртуального диска ВМ нажмите кнопку Создать. На экране появится окно "Новый виртуальный диск" (рисунок 77).
В поле "Размер (ГиБ)" укажите размер виртуального диска не менее 62 ГБ.
Рисунок 77 – Окно "Новый виртуальный диск"
После настройки опциональных параметров виртуального диска нажмите кнопку ОК для сохранения указанных значений и возвращения в окно "Новая ВМ".
Далее в окне "Новая ВМ" перейдите на вкладку "Система" (рисунок 78).
В поле "Размер памяти" укажите объем используемой оперативной памяти не менее 2 ГБ. В поле "Всего виртуальных ЦП" укажите требуемое число виртуальных процессоров (ядер) (рисунок 78).
Рисунок 78 – Вкладка "Система". Укажите требуемый размер памяти и региональные настройки
Перейдите на вкладку "Параметры загрузки" (рисунок 79).
Рисунок 79 – Вкладка "Параметры загрузки"
Установите последовательность загрузки устройств. Для последующей установки ОС с загруженного образа с дистрибутивом сервера IPA выберите из выпадающего списка "Первое устройство" значение "CD-ROM", а из выпадающего списка "Второе устройство" значение "Жесткий диск" (рисунок 79).
Установите флажок "Присоединить CD" и выберите из выпадающего списка образ с дистрибутивом (файл RV-3.1-20250224.0-rv-x86_64-dvd1.iso).
Для применения всех сделанных настроек и создания новой ВМ нажмите кнопку ОК.
В результате на портале администрирования СУСВ в меню "Ресурсы → Виртуальные машины" появится новая ВМ, созданная для сервера IPA.
После создания новой ВМ настройте параметры виртуального сетевого интерфейса. Для этого во внутреннем меню ВМ нажмите кнопку Изменить и во вкладке "Общие" выберите из выпадающего списка необходимое значение (рекомендуемый вариант – ovirtmgmt).
Для перехода к процессу установки ОС на сервер IPA выберите созданную ВМ и нажмите кнопку Запустить, а после изменения состояния ВМ нажмите кнопку Консоль.
На экране появится интерфейс программы установки ОС.
Установка ОС на сервер IPA
Процесс установки ОС на сервер IPA во многом аналогичен процедуре установки ОС гипервизора, которая полностью и подробно приведена в разделе 3.2.
Для установки ОС загрузите физический сервер или созданную ВМ с носителя с дистрибутивом сервера IPA.
На экране последовательно появятся меню программы установки, окно приветствия и меню "Сводка установки", которое содержит различные секции для настройки параметров установки (рисунок 80).
Под наименованием каждой секции приводится информация о текущих параметрах, настроенных автоматически программой установки.
Рисунок 80 – Сводка установки ROSA Virtualization
Нажмите на наименование секции для перехода к интерфейсу настройки соответствующих параметров. После настройки параметров нажмите кнопку Готово для возвращения в меню "Сводка установки".
Следующие секции являются обязательными для настройки параметров установки ОС сервера IPA:
- Выбор программ;
- Целевое устройство установки;
- Сеть и имя хоста;
- Пароль root.
В секции "Выбор программ" установите переключатель "Базовое окружение" в положение "Служба каталогов (РОСА Функции контроллера домена)" (рисунок 81) для установки соответствующего базового ПО в систему.
В секции "Целевое устройство установки" выберите необходимый диск и установите переключатель "Конфигурация устройств хранения данных" в положение "Автоматически".
Рисунок 81 – Выбор базового ПО для установки: Служба каталогов ‒ РОСА Функции контроллера домена
В секции "Сеть и имя хоста" задайте полное доменное имя сервера IPA (например, ipa.rosa.lan), подключите необходимый сетевой интерфейс и настройте параметры сетевого соединения: DHCP или статические значения IP-адреса (например, 10.10.20.8), маски сети (255.255.255.0), шлюза по умолчанию (10.10.20.1) и сервера DNS (10.10.20.1).
В секции "Пароль root" установите пароль для учетной записи суперпользователя root.
После настройки всех обязательных параметров нажмите кнопку Начать установку для старта процесса установки ОС (рисунок 80).
После завершения процесса установки нажмите кнопку Перезагрузка системы (рисунок 82).
Рисунок 82 – Окно с информацией о завершении установки системы и кнопкой перезагрузки системы
На физическом сервере извлеките DVD- или USB-накопитель, с которого выполнялась установка, а в настройках ВМ установите приоритет загрузки с жесткого диска.
После перезагрузки ОС на экране появится строка приглашения командного интерпретатора для входа в систему и дальнейшего выполнения сценария установки и настройки ПО сервера IPA. Вход в систему осуществляется с использованием логина и пароля учетной записи суперпользователя root (рисунок 83).
Рисунок 83 – Вход в систему ‒ системная консоль
Выполнение сценария установки ПО сервера IPA
Установка и настройка ПО сервера IPA осуществляется консольной утилитой (сценарием установки) ipa-server-install.
Примечание – Сценарий установки ipa-server-install создает файл журнала /var/log/ipaserver-install.log. В случае неудачной установки можно просмотреть записи журнала для выявления проблемы в процессе установки.
Рекомендованная конфигурация для установки сервера IPA
Рекомендуется установить сервер IPA со встроенной службой DNS и со встроенным центром сертификации CA в качестве корневого удостоверяющего центра. Данные параметры являются значениями по умолчанию.
Запуск сценария установки сервера IPA
Для запуска интерактивного сценария установки сервера IPA осуществите вход в систему от имени учетной записи суперпользователя root и выполните следующую консольную команду:
ipa-server-install
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
Version 4.9.13
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the NTP client (chronyd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure SID generation
* Configure the KDC to enable PKINIT
To accept the default shown in brackets, press the Enter key.
Сценарий установки выведет справочную информацию о действиях, которые будут выполнены, а затем предложит настроить встроенную службу DNS.
Для подтверждения согласия настройки встроенной службы DNS введите "yes":
Do you want to configure integrated DNS (BIND)? [no]: yes
Далее сценарий установки предложит определенные значения по умолчанию для следующих параметров:
- имя хоста сервера IPA (host name);
- имя домена (domain name);
- имя области Kerberos (realm name):
Server host name [ipa.rosa.lan]:
Please confirm the domain name [rosa.lan]:
Please provide a realm name [ROSA.LAN]:
Чтобы принять предложенные значения по умолчанию, нажмите клавишу Enter.
При необходимости вы можете внести изменения в имя хоста сервера, имя домена, имя области Kerberos.
Для изменения параметра по умолчанию введите необходимое значение, соответствующее установке в вашем ЦОД, и затем нажмите клавишу Enter.
Примечание – Указанные выше имя хоста сервера IPA, имя домена и имя области Kerberos являются примером. При установке их необходимо заменить на используемые в организации.
Установите (введите и подтвердите) пароли для:
- суперпользователя службы каталогов LDAP (Directory Manager);
- пользовательской административной учетной записи admin сервера IPA (IPA admin):
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password:
Password (confirm):
The IPA server requires an administrative user, named "admin".
This user is a regular system account used for IPA server administration.
IPA admin password:
Password (confirm):
Далее сценарий установки предложит настроить перенаправление DNS:
Do you want to configure DNS forwarders? [yes]:
Если перенаправление DNS конфигурировать не нужно, введите "no" (рекомендованная опция по умолчанию).
Для настройки перенаправления DNS нажмите клавишу Enter или введите "yes". Сценарий установки запросит и затем добавит IP-адреса средств перенаправления в файл /etc/named.conf.
Пример:
Do you want to configure DNS forwarders? [yes]: no
No DNS forwarders configured
Примечание – В примере выше перенаправление DNS не было сконфигурировано.
Далее сценарий установки предложит проверить, нужно ли настроить какие-либо обратные записи DNS для IP-адресов, связанных с сервером IPA. Для подтверждения нажмите клавишу Enter или введите "yes":
Do you want to search for missing reverse zones? [yes]:
Если в результате поиска будут обнаружены отсутствующие обратные зоны, сценарий установки спросит, нужно ли создать обратные зоны для соответствующих обратных записей DNS. Для подтверждения нажмите клавишу Enter:
Checking DNS domain 20.10.10.in-addr.arpa., please wait ...
Do you want to create reverse zone for IP 10.10.20.8 [yes]:
Please specify the reverse zone name [20.10.10.in-addr.arpa.]: zone1
Invalid reverse zone zone1 for IP address 10.10.20.8
Please specify the reverse zone name [20.10.10.in-addr.arpa.]:
Checking DNS domain 20.10.10.in-addr.arpa., please wait ...
Using reverse zone(s) 20.10.10.in-addr.arpa.
Далее сценарий установки предложит настроить доменное имя NetBIOS:
Trust is configured but no NetBIOS domain name found, setting it now.
Enter the NetBIOS name for the IPA domain.
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.
NetBIOS domain name [ROSA]:
Введите доменное имя NetBIOS, для подтверждения нажмите клавишу Enter.
Опционально вы можете также настроить сервер NTP (NTP server) или пул адресов серверов точного времени:
Do you want to configure chrony with NTP server or pool address? [no]:
Сценарий установки выведет в консоль выбранные параметры настройки сервера IPA. Проверьте указанные настройки на соответствие требуемым настройкам:
The IPA Master Server will be configured with:
Hostname: ipa.rosa.lan
IP address(es): 10.10.20.8
Domain name: rosa.lan
Realm name: ROSA.LAN
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=ROSA.LAN
Subject base: O=ROSA.LAN
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: No forwarders
Forward policy: only
Reverse zone(s): 20.10.10.in-addr.arpa.
Для подтверждения всех сделанных настроек конфигурации сервера IPA введите "yes":
Continue to configure the system with these values? [no]: yes
Сценарий приступит к установке ПО сервера IPA в соответствии с заданной конфигурацией.
После завершения установки ПО сервера IPA на экране появится соответствующее сообщение, а также сценарий установки порекомендует сделать резервную копию сертификата центра сертификации CA и убедиться в том, что требуемые сетевые порты сервера IPA открыты для входящих соединений:
The following operations may take some minutes to complete.
Please wait until the prompt is returned.
Adding [10.10.20.8 ipa.rosa.lan] to your /etc/hosts file
Disabled p11-kit-proxy
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Configuring directory server (dirsrv). Estimated time: 30 seconds
[1/43]: creating directory server instance
Validate installation settings ...
Create file system structures ...
Perform SELinux labeling ...
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/bak.
Setting label dirsrv_config_t in seLinux file context /etc/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/db.
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/ldif.
Setting label dirsrv_var_lock_t in seLinux file context /var/run/lock/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_var_log_t in seLinux file context /var/log/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_tmpfs_t in seLinux file context /dev/shm/slapd-ROSA-LAN.
Setting label dirsrv_var_run_t in seLinux file context /var/run/dirsrv.
Setting label dirsrv_config_t in seLinux file context /etc/dirsrv/slapd-ROSA-LAN/schema.
Create database backend: dc=rosa,dc=lan ...
Perform post-installation tasks ...
[2/43]: tune ldbm plugin
[3/43]: adding default schema
. . .
. . .
Done configuring the web interface (httpd).
Configuring Kerberos KDC (krb5kdc)
[1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
Applying LDAP updates
Upgrading IPA:. Estimated time: 1 minute 30 seconds
[1/10]: stopping directory server
[2/10]: saving configuration
[3/10]: disabling listeners
[4/10]: enabling DS global lock
[5/10]: disabling Schema Compat
[6/10]: starting directory server
[7/10]: upgrading server
[8/10]: stopping directory server
[9/10]: restoring configuration
[10/10]: starting directory server
Done.
Restarting the KDC
dnssec-validation yes
Configuring DNS (named)
[1/12]: generating rndc key file
[2/12]: adding DNS container
[3/12]: setting up our zone
[4/12]: setting up reverse zone
[5/12]: setting up our own record
[6/12]: setting up records for other masters
[7/12]: adding NS record to the zones
[8/12]: setting up kerberos principal
[9/12]: setting up named.conf
created new /etc/named.conf
created named user config "/etc/named/ipa-ext.conf"
created named user config "/etc/named/ipa-options-ext.conf"
created named user config "/etc/named/ipa-logging-ext.conf"
[10/12]: setting up server configuration
[11/12]: configuring named to start on boot
[12/12]: changing resolv.conf to point to ourselves
Done configuring DNS (named).
Restarting the web server to pick up resolv.conf changes
Configuring DNS key synchronization service (ipa-dnskeysyncd)
[1/7]: checking status
[2/7]: setting up bind-dyndb-ldap working directory
[3/7]: setting up kerberos principal
[4/7]: setting up SoftHSM
[5/7]: adding DNSSEC containers
[6/7]: creating replica keys
[7/7]: configuring ipa-dnskeysyncd to start on boot
Done configuring DNS key synchronization service (ipa-dnskeysyncd).
Restarting ipa-dnskeysyncd
Restarting named
Updating DNS system records
Configuring SID generation
[1/8]: creating samba domain object
[2/8]: adding admin(group) SIDs
[3/8]: adding RID bases
[4/8]: updating Kerberos config
"dns_lookup_kdc" already set to "true", nothing to do.
[5/8]: activating sidgen task
[6/8]: restarting Directory Server to take MS PAC and LDAP plugins changes into account
[7/8]: adding fallback group
[8/8]: adding SIDs to existing users and groups
This step may take considerable amount of time, please wait..
Done.
Restarting the KDC
Configuring client side components
This program will set up IPA client.
Version 4.9.13
Using existing certificate "/etc/ipa/ca.crt".
Client hostname: ipa.rosa.lan
Realm: ROSA.LAN
DNS Domain: rosa.lan
IPA Server: ipa.rosa.lan
BaseDN: dc=rosa,dc=lan
Configured /etc/sssd/sssd.conf
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2001_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2012_512_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2012_256_key.pub
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring rosa.lan as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
==============================================================================
Setup complete
Next steps:
1. You must make sure these network ports are open:
TCP Ports:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
UDP Ports:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. You can now obtain a kerberos ticket using the command: "kinit admin"
This ticket will allow you to use the IPA tools (e.g., ipa user-add)
and the web user interface.
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful
Примечание – Часть вывода в консоль в примере выше была опущена. Справочно приводятся начальная и конечная часть вывода в консоль с подтверждением успешности установки сервера IPA.
Сообщение:
The ipa-server-install command was successful
свидетельствует о том, что установка прошла успешно.
Инициализация учетной записи администратора сервера IPA и настройка параметров учетной записи
Инициализация учетной записи администратора
Для получения билета Kerberos для учетной записи администратора admin необходимо выполнить команду:
kinit
с указанием принципала. kinit получает и кеширует начальный билет на выдачу билетов для принципала.
Выполните в консоли сервера IPA команду:
kinit admin
для получения билета Kerberos для учетной записи администратора admin. Далее необходимо подтвердить полномочия администратора, введя его пароль, например:
kinit admin
Password for admin@ROSA.LAN:
Проверка учетной записи администратора
Для проверки корректной работы сервера и наличия учетной записи администратора используйте команду:
ipa user-find admin
которая осуществляет поиск нужного пользователя и вывод базовых параметров этой учетной записи.
Пример:
ipa user-find admin
---------------------------------------
установлено соответствие 1 пользователя
---------------------------------------
Имя учётной записи пользователя: admin
Фамилия: Administrator
Домашний каталог: /home/admin
Оболочка входа: /bin/bash
Псевдоним учётной записи: admin@ROSA.LAN, root@ROSA.LAN
UID: 702400000
ID группы: 702400000
Учётная запись отключена: False
---------------------------------
Количество возвращённых записей 1
---------------------------------
В данном примере была обнаружена учетная запись admin. Учетная запись включена (не заблокирована).
Примечание – Если при выполнения запроса к серверу IPA выводится сообщение об ошибке вида:
ipa user-find n.petrov
ipa: ERROR: Срок действия билета истек
то необходимо обновить билет Kerberos, выполнив команду kinit admin, и подтвердить полномочия вводом пароля администратора.
Для проверки наличия действительных (валидных) билетов Kerberos можно использовать команду klist:
klist
Ticket cache: KCM:0
Default principal: admin@ROSA.LAN
Valid starting Expires Service principal
03.03.2025 20:15:40 04.03.2025 19:50:10 HTTP/ipa.rosa.lan@ROSA.LAN
03.03.2025 20:13:30 04.03.2025 19:50:10 krbtgt/ROSA.LAN@ROSA.LAN
где:
- Default principal ‒ принципал, используемый по умолчанию (в примере выше ‒ admin@ROSA.LAN).
- Valid starting ‒ дата и время, начиная с которого действует билет Kerberos (в примере выше ‒ 03.03.2025 20:15:40).
- Expires ‒ дата и время окончания строка действия билета Kerberos (в примере выше ‒ 04.03.2025 19:50:10).
- Service principal ‒ принципал службы (ресурс, к которому предоставляется доступ). В примере выше ‒ HTTP/ipa.rosa.lan@ROSA.LAN и HTTP/ipa.rosa.lan@ROSA.LAN.
Для добавления новых пользователей в каталог пользователей сервера IPA вы можете воспользоваться консольной утилитой:
ipa user-add
или использовать веб-интерфейс сервера IPA.
Параметры команды добавления нового пользователя сервера IPA
Для получения списка актуальных параметров при добавлении нового пользователя можно использовать команду ipa user-add ‒help:
ipa user-add --help
Usage: ipa [global-options] user-add LOGIN [options]
Добавить нового пользователя.
Options:
-h, --help show this help message and exit
--first=STR Имя
--last=STR Фамилия
--cn=STR Полное имя
--displayname=STR Отображаемое имя
--initials=STR Инициалы
--homedir=STR Домашний каталог
--gecos=STR GECOS
--shell=STR Оболочка входа
--principal=PRINCIPAL
Псевдоним учётной записи
--principal-expiration=DATETIME
Окончание действия учётной записи Kerberos
--password-expiration=DATETIME
Окончание действия пароля пользователя
--email=STR Адрес электронной почты
--password Запросить пароль у пользователя
--random Создать случайный пользовательский пароль
--uid=INT ID пользователя (если не указан, система назначит его
самостоятельно)
--gidnumber=INT ID группы
--street=STR Адрес
--city=STR Город
--state=STR Область/республика
--postalcode=STR Индекс
--phone=STR Номер телефона
--mobile=STR Номер мобильного телефона
--pager=STR Номер пейджера
--fax=STR Номер факса
--orgunit=STR Отдел
--title=STR Должность
--manager=STR Руководитель
--carlicense=STR Номер автомобиля
--sshpubkey=STR Открытый ключ SSH
--user-auth-type=["password", "radius", "otp", "pkinit", "hardened", "idp"]
Поддерживаемые типы аутентификации пользователей
--class=STR Категория пользователей (семантика этого атрибута
предназначена для локального разбора)
--radius=STR Конфигурация прокси RADIUS
--radius-username=STR
Имя пользователя прокси RADIUS
--idp=STR External IdP configuration
--idp-user-id=STR A string that identifies the user at external IdP
--departmentnumber=STR
Номер отдела
--employeenumber=STR Номер сотрудника
--employeetype=STR Тип сотрудника
--preferredlanguage=STR
Предпочитаемый язык
--certificate=CERTIFICATE
Base-64 шифрованный сертификат пользователя
--setattr=STR Установить атрибут для пары имя/значение. Формат:
атрибут=значение. Если атрибут многозначный, команда
заменяет уже присутствующие значения.
--addattr=STR Добавить пару атрибут/значение. Формат:
атрибут=значение. Атрибут должен быть частью схемы.
--noprivate Не создавать личную группу пользователя
--all Получить и вывести все атрибуты, возвращаемые
сервером. Влияет на содержимое результата исполнения
команды.
--raw Вывести записи в том виде, в котором они хранятся на
сервере. Влияет только на формат вывода данных.
--no-members Подавить обработку атрибутов участия.
Пример добавления нового пользователя с логином a.ivanov, именем Александр, фамилией Иванов и отображаемым именем Александр Иванов:
ipa user-add a.ivanov \
--first="Александр" \
--last="Иванов" \
--displayname="Александр Иванов"
По умолчанию пользователь будет добавлен в группу ipausers:
ipa user-add a.ivanov \
> --first="Александр" \
> --last="Иванов" \
> --displayname="Александр Иванов"
--------------------------------
Добавлен пользователь "a.ivanov"
--------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Полное имя: Александр Иванов
Отображаемое имя: Александр Иванов
Инициалы: АИ
Домашний каталог: /home/a.ivanov
GECOS: Александр Иванов
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Пароль: False
Участник групп: ipausers
Доступные ключи Kerberos: False
Строка "Участник групп: ipausers" показывает, что данный пользователь был добавлен в группу ipausers.
Примечание – В примере выше новый пользователь с логином a.ivanov был добавлен в каталог пользователей без указания пароля и срока окончания действия пароля. Для возможности успешного входа в систему должен быть задан пароль учетной записи и указан срок окончания действия пароля с датой/временем, которые наступят позднее.
Добавление или смена пароля пользователя
Для добавления или смены пароля пользователя необходимо использовать команду:
ipa user-mod user_name ‒password
где user_name ‒ это имя пользователя.
Пример:
ipa user-mod a.ivanov --password
Пароль:
Введите Пароль ещё раз для проверки:
-------------------------------
Изменён пользователь "a.ivanov"
-------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
Пароль: True
Участник групп: ipausers
Доступные ключи Kerberos: True
После запуска команды появится подсказка:
Пароль:
после которой необходимо указать требуемый (желаемый) пароль пользователя.
Затем появится подсказка:
Введите Пароль ещё раз для проверки:
и после неё необходимо повторно указать пароль пользователя (для проверки правильности введенного ранее пароля).
При условии, что оба введенных после подсказок пароля совпадают, пароль для пользователя будет изменён.
Информация в выводе на терминал "Пароль: True" сообщает о том, что пароль был успешно создан (изменён).
Изменения срока действия пароля пользователя
Для изменения срока действия пароля пользователя необходимо использовать команду:
ipa user-mod user_name ‒password-expiration
где user_name ‒ это имя пользователя:
Укажите дату/время окончания действия пароля в формате "год-месяц-число час:минута:секунда" так, чтобы дата и время окончания срока действия учетной записи наступали позднее текущего момента. Например, можно указать дату +3 месяца от текущей даты.
Пример:
ipa user-mod a.ivanov --password-expiration="2025-09-03 12:00:00Z"
-------------------------------
Изменён пользователь "a.ivanov"
-------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Окончание действия пароля пользователя: 20250903120000Z
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
Пароль: True
Участник групп: ipausers
Доступные ключи Kerberos: True
В данном примере строка "Окончание действия пароля пользователя: 20250903120000Z" означает "Окончание действия пароля пользователя ‒ 2025-09-03 12:00:00Z" (год 2025, месяц 09, число 03, время 12:00, 00 секунд).
При необходимости внесения изменения в срок действия пароля пользователя указанные выше действия можно повторить.
Изменения срока действия пароля пользователя с помощью поля krbPasswordExpiration
Для изменения срока действия пароля пользователя с помощью модификации поля krbPasswordExpiration необходимо использовать команду:
ipa user-mod user_name ‒setattr=krbPasswordExpiration
где user_name ‒ это имя пользователя.
Укажите дату/время окончания действия пароля в формате "год-месяц-число-час-минуты-секунды" (без дефисов), например 20250817010000Z (год 2025, месяц 08, число 17, время 01:00, 00 секунд):
ipa user-mod n.petrov --setattr=krbPasswordExpiration=20250817010000Z
-------------------------------
Изменён пользователь "n.petrov"
-------------------------------
Имя учётной записи пользователя: n.petrov
Имя: Николай
Фамилия: Петров
Домашний каталог: /home/n.petrov
Оболочка входа: /bin/sh
Имя учётной записи: n.petrov@ROSA.LAN
Псевдоним учётной записи: n.petrov@ROSA.LAN
Окончание действия пароля пользователя: 20250817010000Z
Адрес электронной почты: n.petrov@rosa.lan
UID: 702400005
ID группы: 702400005
Учётная запись отключена: False
Пароль: False
Участник групп: ipausers
Доступные ключи Kerberos: False
Проверки даты и времени окончания срока действия пароля учетной записи пользователя
Для проверки даты и времени окончания срока действия пароля учетной записи пользователя используйте команду:
ipa user-show user_name --all ‒raw
где user_name ‒ имя пользователя, и далее фильтр по атрибуту krbPasswordExpiration.
Пример 1:
ipa user-show a.ivanov --all --raw | grep krbPasswordExpiration
krbPasswordExpiration: 20250903120000Z
Значение поля krbPasswordExpiration соответствует дате и времени окончания срока действия пароля учетной записи ‒ 20250903120000Z (год 2025, месяц 09, число 03, время 12:00, 00 секунд).
Пример 2:
ipa user-show n.petrov --all --raw | grep krbPasswordExpiration
krbPasswordExpiration: 20250817010000Z
где 20250817010000Z – год 2025, месяц 08, число 17, время 01:00, 00 секунд
Проверка наличия пользователя в каталоге IPA
Для проверки наличия пользователя в каталоге IPA необходимо выполнить в консоли команду:
ipa user-find
Если пользователь отсутствует в каталоге, то будет выведено сообщение, что пользователь не найден:
ipa user-find n.petrov
----------------------------------------
установлено соответствие 0 пользователей
----------------------------------------
---------------------------------
Количество возвращённых записей 0
---------------------------------
Если пользователь присутствует в каталоге, то будет выведено сообщение с параметрами учетной записи пользователя:
ipa user-find a.ivanov
---------------------------------------
установлено соответствие 1 пользователя
---------------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
---------------------------------
Количество возвращённых записей 1
---------------------------------
Альтернативным способом запроса данных пользователя из каталогов IPA является утилита ldapsearch. Для проверки наличия пользователя в каталоге или запроса параметров учетной записи пользователя выполните команду:
ldapsearch -x uid=<идентификатор пользователя>
где идентификатор пользователя ‒ это уникальный идентификатор пользователя в системе (UID).
Пример:
ldapsearch -x uid=a.ivanov
extended LDIF
#
LDAPv3
base <dc=rosa,dc=lan> (default) with scope subtree
filter: uid=a.ivanov
requesting: ALL
#
a.ivanov, users, compat, rosa.lan
dn: uid=a.ivanov,cn=users,cn=compat,dc=rosa,dc=lan
objectClass: posixAccount
objectClass: ipaOverrideTarget
objectClass: top
gecos:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
cn:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
uidNumber: 702400003
gidNumber: 702400003
loginShell: /bin/sh
homeDirectory: /home/a.ivanov
ipaAnchorUUID:: OklQQTpyb3NhLmxhbjo4MzI1YWMxOC1mODUzLTExZWYtYjAxMC1iYzI0MTE3ZD
YwNzY=
uid: a.ivanov
a.ivanov, users, accounts, rosa.lan
dn: uid=a.ivanov,cn=users,cn=accounts,dc=rosa,dc=lan
givenName:: 0JDQu9C10LrRgdCw0L3QtNGA
sn:: 0JjQstCw0L3QvtCy
uid: a.ivanov
cn:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
displayName:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
initials:: 0JDQmA==
gecos:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
objectClass: top
objectClass: person
objectClass: organizationalperson
objectClass: inetorgperson
objectClass: inetuser
objectClass: posixaccount
objectClass: krbprincipalaux
objectClass: krbticketpolicyaux
objectClass: ipaobject
objectClass: ipasshuser
objectClass: ipaSshGroupOfPubKeys
objectClass: mepOriginEntry
objectClass: ipantuserattrs
loginShell: /bin/sh
homeDirectory: /home/a.ivanov
uidNumber: 702400003
gidNumber: 702400003
ipaNTSecurityIdentifier: S-1-5-21-2779713119-1389312704-1424425367-1003
search result
search: 2
result: 0 Success
numResponses: 3
numEntries: 2
Если в каких-либо полях учетной записи используется русский алфавит, то вывод значения данного поля будет закодирован в кодировке base64.
Например, в выводе в консоли выше поле displayName закодировано в кодировке base64:
displayName:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
Для декодирования содержимого поля (и его последующей проверки) в командной строке можно использовать утилиту base64.
Пример:
echo "0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==" | base64 --decode
Александр Иванов
В данном случае содержимое поля displayName ("отображаемое имя") декодируется как "Александр Иванов".
Также для декодирования кодировки base64 можно использовать утилиту openssl.
Пример:
openssl enc -base64 -d <<< "0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg=="
Александр Иванов
Содержимое поля displayName ("отображаемое имя") декодируется как "Александр Иванов".
Настройка межсетевого экрана для сервера IPA
Для открытия необходимых портов сервера IPA в зоне default службы межсетевого экрана firewalld выполните следующую консольную команду (список требуемых портов приведен в таблице 4):
firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,\
636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp}
Примечания:
- Не следует беспокоиться о том, что сервер IPA использует порты 80 и 389.
- Порт 80 (HTTP) используется для предоставления откликов протокола проверки статуса сертификата (OCSP) и списков аннулирования сертификатов (CRL). Обе программы имеют цифровую подпись и поэтому защищены от атак через посредника (man-in-the-middle).
- Порт 389 (LDAP) использует STARTTLS и GSSAPI для шифрования.
Для применения изменений перезагрузите конфигурацию межсетевого экрана. Для этого выполните следующую консольную команду:
firewall-cmd --reload
После установки ПО сервера IPA и настройки межсетевого экрана станет доступным вход в веб-интерфейс управления сервером IPA.
Для проверки статуса работы межсетевого экрана firewalld выполните команду:
[root@ipa ~]# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2025-03-03 19:47:45 MSK; 40min ago
Docs: man:firewalld(1)
Main PID: 735 (firewalld)
Tasks: 3 (limit: 10622)
Memory: 53.0M
CGroup: /system.slice/firewalld.service
└─735 /usr/bin/python3.6 -s /usr/sbin/firewalld --nofork --nopid
мар 03 19:47:44 ipa.rosa.lan systemd[1]: Starting firewalld - dynamic firewall daemon...
мар 03 19:47:45 ipa.rosa.lan systemd[1]: Started firewalld - dynamic firewall daemon.
Статус "Active: active (running)" сообщает о том, что межсетевой экран активен.
Вход в веб-интерфейс сервера IPA
Для доступа к веб-интерфейсу введите в адресной строке браузера (на внешней рабочей станции) доменное имя или IP-адрес сервера IPA, например:
https://ipa.rosa.lan
На экране появится окно авторизации интерфейса (рисунок 84).
Примечание – Первичный вход в интерфейс управления сервером IPA осуществляется от имени учетной записи администратора admin. Предварительно необходимо получить билет Kerberos для учетной записи admin, выполнив в консоли команду:
kinit admin
Рисунок 84 – Окно авторизации интерфейса управления сервером IPA
Для входа в интерфейс введите имя (логин) и пароль пользователя в соответствующие поля, после чего нажмите кнопку Войти.
После входа в веб-интерфейс сервера IPA будет отображена панель управления сервером IPA. По умолчанию будет открыта вкладка "Идентификация → Активные пользователи" (рисунок 85).
Если вы уже добавили каких-либо пользователей в каталог IPA, используя интерфейс командной строки, то эти пользователи будут отображены с списке активных пользователей.
Рисунок 85 – Веб-интерфейс сервера IPA ‒ вкладка Идентификация → Активные пользователи