База знаний
Войти

Управление пользователями в локальной сети с FreeIPA

Для централизованной аутентификации пользователей в локальной сети в ОС применяется технология IPA (FreeIPA). IPA – это интегрированное решение для управления идентификацией, аутентификацией и авторизацией ОС РОСА "ХРОМ" в сети. Этот сервер предоставляет централизованный контроль доступа и обеспечивает безопасность идентификации пользователей, компьютеров и служб в корпоративной среде.

Настройка сервера домена IPA

Для работы сервера IPA необходимо настроить сеть на сервере и имя хоста.

В качестве примера используются следующие данные для хоста IPA-сервера:

  • имя хоста – dc1;
  • имя домена – rosa.lan;
  • IP-адрес IPA-сервера – 192.168.1.6;
  • маска подсети, в которой будут использоваться IPA-сервер и рабочие станции – 255.255.255.0;
  • шлюз по умолчанию – 192.168.1.1;
  • DNS-сервер – 192.168.1.1;
  • DNS-поиск домена – rosa.lan.

Алгоритм настройки сети с указанными для примера значениями:

  1. установить имя сервера, например:
sudo hostnamectl dc1.rosa.lan
  1. создать для сервера статический IP-адрес, используя интерфейс nmtui;
  2. перезагрузить ОС, чтоб изменения вступили в силу.

После перезагрузки и входа в Систему необходимо установить пакет IPA-сервера:

sudo dnf install ipa-server

Далее нужно запустить его инсталляцию командой:

sudo ipa-server-install

В процессе установки сервера следует придерживаться следующих инструкций при запросе установщика:

  1. о необходимости настройки DNS-сервера на IPA-сервере ответить "YES";
  2. о наименовании хоста, домена и realm ввести данные, которые были рассмотрены для примера в начале раздела, а именно: dc1.rosa.lan, rosa.lan и ROSA.LAN;
  3. о логинах и паролях для сервера и административного IPA-аккаунта ввести логин по умолчанию – admin, запрашиваемый пароль и запомнить их;
  4. о DNS-сервере нужно ответить на следующие вопросы:
  • Do you want to configure DNS forwarders? – ответить "YES", чтобы сконфигурировать DNS-серверы для форвардинга;
  • Do you want to configure these servers as DNS forwarders? – ответить "YES", чтобы сконфигурировать найденный DNS-сервер как сервер для форвардинга;
  • Enter an IP address for a DNS forwarder, or press Enter to skip: – нажать клавишу Enter, чтобы не вписывать дополнительные DNS-сервера для форвардинга., или вписать IP-адреса DNS-серверов для форвардинга;
  • Do you want to search for missing reverse zone? – ответить "YES", чтобы найти обратную зону DNS;
  • Do you want to configure chrony with NTP server or pool address? – ответить "NO", чтобы не конфигурировать сервер chrony, так как устраивает его конфигурация по умолчанию.
  1. при выводе конфигурационной информации (запроса о подтверждении правильности конфигурирования) для дальнейшей установки IPA-сервера ответить "YES", если все правильно сконфигурировано.

После этого шага начнется инсталляция IPA-сервера на ПК.

Если установка прошла успешно, установщик IPA-сервера выведет конечную информацию об установленном сервере и его сервисах.

Далее необходимо проверить работоспособность IPA-служб командой:

ipactl status

Если в выводах команды везде фигурирует RUNNING, значит все сервисы запущены и работают.

Следующим и последним шагом установки необходимо инициализировать аккаунт IPA-администратора – admin:

kinit admin

Далее нужно ввести пароль, который был введен ранее при установке IPA.

Установка может занять значительное время. Для инсталляции и работы IPA-сервера рекомендуется не менее 4 Гб оперативной памяти.

Далее управлять установленным IPA-сервером можно через web-интерфейс: в данном случае по адресу dc1.rosa.lan.

В открывшемся веб-интерфейсе FreeIPA-сервера нужно ввести логин (admin) и пароль, чтобы войти под учетной записью администратора.

После успешного входа откроется веб-интерфейс IPA-сервера, в котором будет производиться вся дальнейшая работа с сервером.

Создание пользователей

Чтобы добавить пользователей на сервере IPA, нужно перейти в веб-интерфейс сервера. Далее необходимо перейти в раздел "Идентификация → Активные пользователи", заполнить все необходимые параметры и нажать кнопку Добавить.

Следует обратить внимание, что в поле "Имя учетной записи" логин будущего пользователя должен быть введен латинскими буквами.

Информация, вводимая в поля "Имя" и "Фамилия" будущего пользователя, носит только справочную информацию и не влияет на дальнейшую работу.

В выпадающем списке поля "ID группы" необходимо выбрать группу editors.

Для добавления каждого нового пользователя необходимо пройти аналогичные шаги. Все вновь созданные пользователи появятся в разделе "Активные пользователи".

Настройка сети

Для настройки сети IPA-сервера нужно перейти в веб-интерфейс управления сервером. Далее в меню "Параметры Системы → Соединения" нужно выбрать соединение и вкладку "IPv4" (в правой части экрана) и задать следующие параметры:

  • из выпадающего списка в параметре "Метод" выбрать "Вручную";
  • в поле "DNS серверы" – IP-адрес IPA сервера 192.168.1.1;
  • в поле "Домены поиска" – rosa.lan;
  • добавить статические адреса:
    • 192.168.1.58 – это IP-адрес рабочей станции;
    • 255.255.255.0 – маска подсети;
    • 192.168.1.1 – шлюз. По завершении нужно нажать кнопку Применить.

Далее необходимо переподключиться к сети (отключить и включить снова) и проверить доступность FreeIPA-сервера по FQDN-имени:

ping dc1.rosa.lan

Настройка клиента домена IPA

Перед установкой IPA-клиента необходимо настроить сеть. Для этого нужно выполнить следующие действия:

  1. установить имя рабочей станции в домене, например:
sudo hostnamectl station.rosa.lan
  1. задать для станции шлюз и DNS-сервер как IP-адрес IPA-сервера, используя интерфейс nmtui, а также указать домен поиска в rosa.lan;
  2. перезагрузить ОС, чтобы изменения вступили в силу.

Если все сделано правильно, команда должна отрабатывать корректно, показывая соединение с IPA-сервером:

ping dc1

После перезагрузки и входа в Систему необходимо установить пакет IPA-клиента:

sudo dnf install ipa-client

Далее нужно запустить инсталляцию и вход в домен командой:

sudo ipa-client-install --mkhomedir

На этом этапе понадобится ввести пароль администратора домена. После перезагрузки можно входить доменным пользователем.

Для установки FreeIPA-клиента сначала нужно установить пакет ipa-client:

sudo dnf install ipa-client

Настроенный в соответствии с примером из п. 4.4.1 IPA-сервер имеет хост и домен: dc1 / rosa.lan, соответственно клиент должен иметь такой же домен:

sudo hostnamectl set-hostname st1.rosa.lan

где:

  • st1 – имя рабочей станции;
  • rosa.lan – имя домена.

Следующим шагом необходимо ввести рабочую станцию в IPA-домен и инициализировать IPA-пользователя:

ipa-client-install –mkhomedir

На запросы инсталлятора следует дать следующие ответы:

  • о перенастройке сервера времени chrony –NO;
  • о продолжении установки с выбранными параметрами – YES;
  • логин и пароль администратора IPA – admin и пароль администратора.

Если все прошло успешно, об этом будет сообщено в последней строке вывода на экран.

После этого следует войти на IPA-сервер и проверить присутствие рабочей станции в домене в списке "Узлы".

Затем нужно инициализировать IPA-пользователя, например, useripa1:

kinit useripa1

Далее нужно ввести пароль для пользователя FreeIPA-сервера – useripa1. Затем необходимо задать новый пароль для пользователя вместо временного и подтвердить его.

Вход в домен

Для того чтобы пользователю войти в IPA-домен, необходимо на экране входа в ОС в момент выбора пользователя Системы выбрать параметр "Нет в списке", после чего откроется поле ввода логина нового пользователя.

Необходимо ввести логин с доменом, например, useripa1@ROSA.LAN (имя домена необходимо вводить заглавными буквами), и пароль, заданный в п. Настройка клиента домена IPA на предыдущем шаге.

После входа в рабочую станцию под доменным IPA-пользователем следует запросить его ID. ID пользователя должно совпадать с его ID на IPA-сервере.

На этом вход в домен IPA завершен.