База знаний
Войти

Установка сервера IPA

В составе РОСА Виртуализация сервер IPA функционирует в качестве сервера каталогов LDAP и предназначен для идентификации и аутентификации доменных пользователей.

Сервер IPA может быть развернут как на отдельном физическом сервере без предустановленной ОС, так и на ВМ под управлением РОСА Виртуализация.

Для установки сервера IPA на ВМ под управлением РОСА Виртуализация необходимо предварительно создать новую ВМ на Портале администрирования СУСВ, а также загрузить образ с дистрибутивом (файл RV-4.0-20260116.0-rv-x86_64-dvd1.iso) в хранилище в подкаталог /iso.

Для установки сервера IPA на отдельный физический сервер используется DVD с дистрибутивом РОСА Виртуализация или ранее созданный сменный носитель с записанным на него образом дистрибутива.

Создание ВМ для сервера IPA

Для создания новой ВМ для сервера IPA необходимо:

  1. авторизоваться на Портале администрирования СУСВ. На экране появится интерфейс Портала администрирования с главным меню СУСВ;
  2. в главном меню СУСВ выбрать пункт "Ресурсы → Виртуальные машины" и нажать кнопку Добавить. На экране появится вкладка "Общие" окна "Новая ВМ" (рисунок 78);

Рисунок 78 – Вкладка "Общие" окна "Новая ВМ"для создания новой виртуальной машины

  1. в поле "Имя" ввести уникальное наименование для новой ВМ (например, "Server-IPA");
  2. для создания виртуального диска ВМ нажать кнопку Создать. На экране появится окно "Новый виртуальный диск" (рисунок 79);

Рисунок 79 – Окно "Новый виртуальный диск"

  1. в поле "Размер (ГиБ)" указать размер виртуального диска не менее 62 ГБ;
  2. после настройки опциональных параметров виртуального диска нажать кнопку ОК для сохранения указанных значений и возвращения в окно "Новая ВМ";
  3. в окне "Новая ВМ" перейти на вкладку "Система" (рисунок 80);

Рисунок 80 – Вкладка "Система"

  1. в поле "Размер памяти" указать объем используемой оперативной памяти не менее 2 ГБ. В поле "Всего виртуальных ЦП" указать требуемое число виртуальных процессоров (ядер) (рисунок 80);
  2. выбрать региональные настройки;
  3. перейти на вкладку "Параметры загрузки" (рисунок 81);

Рисунок 81 – Вкладка "Параметры загрузки"

  1. установить последовательность загрузки устройств. Для последующей установки ОС с загруженного образа с дистрибутивом сервера IPA выбрать из выпадающего списка "Первое устройство" значение "CD-ROM", а из выпадающего списка "Второе устройство" значение "Жесткий диск" (рисунок 81);
  2. установить флажок "Присоединить CD" и выбрать из выпадающего списка образ с дистрибутивом (файл RV-4.0-20260116.0-rv-x86_64-dvd1.iso);
  3. для применения всех сделанных настроек и создания новой ВМ нажать кнопку ОК;

В результате на Портале администрирования СУСВ в меню "Ресурсы → Виртуальные машины" появится новая ВМ, созданная для сервера IPA.

После создания новой ВМ требуется настроить параметры виртуального сетевого интерфейса. Для этого во внутреннем меню ВМ нужно нажать кнопку Изменить и во вкладке "Общие" выбрать из выпадающего списка необходимое значение (рекомендуемый вариант – "ovirtmgmt").

Для перехода к процессу установки ОС на сервер IPA следует выбрать созданную ВМ и нажать кнопку Запустить, а после изменения состояния ВМ нажать кнопку Консоль.

На экране появится интерфейс программы установки ОС.

Установка ОС на сервер IPA

Процесс установки ОС на сервер IPA во многом аналогичен процедуре установки ОС гипервизора, которая полностью и подробно приведена в разделе Установка гипервизора на физический сервер.

Для установки ОС необходимо загрузить физический сервер или созданную ВМ с носителя с дистрибутивом сервера IPA.

На экране последовательно появятся меню программы установки, окно приветствия и меню "Обзор установки", которое содержит различные секции для настройки параметров установки (рисунок 82).

Рисунок 82 – Обзор установки РОСА Виртуализация

Под наименованием каждой секции приводится информация о текущих параметрах, настроенных автоматически программой установки.

Для перехода к интерфейсу настройки соответствующих параметров следует нажимать на наименования секций. После настройки параметров нужно нажать кнопку Готово для возвращения в меню "Обзор установки".

Следующие секции являются обязательными для настройки параметров установки ОС сервера IPA:

  • Выбор программ;
  • Место установки;
  • Имя сети и узла;
  • Пароль root.

В секции "Выбор программ" необходимо установить переключатель "Базовое окружение" в положение "Служба каталогов (РОСА Функции контроллера домена)" (рисунок 83) для установки соответствующего базового ПО в систему.

Рисунок 83 – Выбор базового ПО для установки: "Служба каталогов ‒ РОСА Функции контроллера домена"

В секции "Имя сети и узла" следует задать полное доменное имя сервера IPA (например, ipa.rosa.lan), подключить необходимый сетевой интерфейс и настроить параметры сетевого соединения: DHCP или статические значения IP-адреса (например, 10.10.20.8), маску сети (255.255.255.0), шлюз по умолчанию (10.10.20.1) и сервер DNS (10.10.20.1).

В секции "Пароль root" нужно установить пароль для учетной записи суперпользователя root.

После настройки всех обязательных параметров необходимо нажать кнопку Начать установку для старта процесса установки ОС (рисунок 82).

После завершения процесса установки необходимо нажать кнопку Перезагрузка системы (рисунок 84).

Рисунок 84 – Окно с информацией о завершении установки системы и кнопкой перезагрузки системы

Далее на физическом сервере следует извлечь DVD или USB-накопитель, с которого выполнялась установка, а в настройках ВМ установить приоритет загрузки с жесткого диска.

После перезагрузки ОС на экране появится строка приглашения командного интерпретатора для входа в систему и дальнейшего выполнения сценария установки и настройки ПО сервера IPA. Вход в систему осуществляется с использованием логина и пароля учетной записи суперпользователя root (рисунок 85).

Рисунок 85 – Вход в систему ‒ системная консоль

Выполнение сценария установки ПО сервера IPA

Установка и настройка ПО сервера IPA осуществляется консольной утилитой (сценарием установки) ipa-server-install.

Примечание – Сценарий установки ipa-server-install создает файл журнала /var/log/ipaserver-install.log. В случае неудачной установки можно просмотреть записи журнала для выявления проблемы в процессе установки.

Рекомендованная конфигурация для установки сервера IPA

В качестве корневого удостоверяющего центра рекомендуется установить сервер IPA со встроенной службой DNS и со встроенным центром сертификации CA. Данные параметры являются значениями по умолчанию.

Запуск сценария установки сервера IPA

Для запуска интерактивного сценария установки сервера IPA необходимо:

  1. осуществить вход в систему от имени учетной записи суперпользователя root и выполнить следующую консольную команду:
ipa-server-install
The log file for this installation can be found in /var/log/ipaserver-install.log
==============================================================================
This program will set up the IPA Server.
Version 4.9.13
This includes:
* Configure a stand-alone CA (dogtag) for certificate management
* Configure the NTP client (chronyd)
* Create and configure an instance of Directory Server
* Create and configure a Kerberos Key Distribution Center (KDC)
* Configure Apache (httpd)
* Configure SID generation
* Configure the KDC to enable PKINIT
To accept the default shown in brackets, press the Enter key.

Сценарий установки выведет справочную информацию о действиях, которые будут выполнены, а затем предложит настроить встроенную службу DNS.

  1. для подтверждения согласия на настройку встроенной службы DNS ввести "yes":
Do you want to configure integrated DNS (BIND)? [no]: yes

Далее сценарий установки предложит определенные значения по умолчанию для следующих параметров:

  • имя хоста сервера IPA (host name);
  • имя домена (domain name);
  • имя области Kerberos (realm name):
Server host name [ipa.rosa.lan]:
Please confirm the domain name [rosa.lan]:
Please provide a realm name [ROSA.LAN]:
  1. чтобы принять предложенные значения по умолчанию, нажать клавишу Enter;
  2. при необходимости можно внести изменения в имя хоста сервера, имя домена, имя области Kerberos, соответствующие установке в актуальном ЦОД, и затем нажать клавишу Enter;

Примечание – Указанные выше имя хоста сервера IPA, имя домена и имя области Kerberos являются примером. При установке их необходимо заменить на используемые в организации.

  1. установить (ввести и подтвердить) пароли для:
  • суперпользователя службы каталогов LDAP (Directory Manager);
  • пользовательской административной учетной записи admin сервера IPA (IPA admin):
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and has full access
to the Directory for system management tasks and will be added to the
instance of directory server created for IPA.
The password must be at least 8 characters long.
Directory Manager password:
Password (confirm):
The IPA server requires an administrative user, named "admin".
This user is a regular system account used for IPA server administration.
IPA admin password:
Password (confirm):
  1. сценарий установки предложит настроить перенаправление DNS:
Do you want to configure DNS forwarders? [yes]:

Если перенаправление DNS конфигурировать не нужно, ввести "no" (рекомендованная опция по умолчанию).

Для настройки перенаправления DNS нажать клавишу Enter или ввести "yes". Сценарий установки запросит и затем добавит IP-адреса средств перенаправления в файл /etc/named.conf.

Пример:

Do you want to configure DNS forwarders? [yes]: no
No DNS forwarders configured

Примечание – В примере выше перенаправление DNS не было сконфигурировано.

  1. сценарий установки предложит проверить, нужно ли настроить какие-либо обратные записи DNS для IP-адресов, связанных с сервером IPA. Для подтверждения нажать клавишу Enter или ввести "yes":
Do you want to search for missing reverse zones? [yes]:

Если в результате поиска будут обнаружены отсутствующие обратные зоны, сценарий установки спросит, нужно ли создать обратные зоны для соответствующих обратных записей DNS. Для подтверждения нажать клавишу Enter:

Checking DNS domain 20.10.10.in-addr.arpa., please wait ...
Do you want to create reverse zone for IP 10.10.20.8 [yes]:
Please specify the reverse zone name [20.10.10.in-addr.arpa.]: zone1
Invalid reverse zone zone1 for IP address 10.10.20.8
Please specify the reverse zone name [20.10.10.in-addr.arpa.]:
Checking DNS domain 20.10.10.in-addr.arpa., please wait ...
Using reverse zone(s) 20.10.10.in-addr.arpa.
  1. сценарий установки предложит настроить доменное имя NetBIOS. Ввести доменное имя NetBIOS, для подтверждения нажать клавишу Enter:
Trust is configured but no NetBIOS domain name found, setting it now.
Enter the NetBIOS name for the IPA domain.
Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
Example: EXAMPLE.
NetBIOS domain name [ROSA]:
  1. опционально можно также настроить сервер NTP (NTP server) или пул адресов серверов точного времени:
Do you want to configure chrony with NTP server or pool address? [no]:
  1. сценарий установки выведет в консоль выбранные параметры настройки сервера IPA. Проверить указанные настройки на соответствие требуемым:
The IPA Master Server will be configured with:
Hostname:       ipa.rosa.lan
IP address(es): 10.10.20.8
Domain name:    rosa.lan
Realm name:     ROSA.LAN
The CA will be configured with:
Subject DN:   CN=Certificate Authority,O=ROSA.LAN
Subject base: O=ROSA.LAN
Chaining:     self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders:       No forwarders
Forward policy:   only
Reverse zone(s):  20.10.10.in-addr.arpa.

Для подтверждения всех сделанных настроек конфигурации сервера IPA ввести "yes":

Continue to configure the system with these values? [no]: yes

Сценарий приступит к установке ПО сервера IPA в соответствии с заданной конфигурацией.

После завершения установки ПО сервера IPA на экране появится соответствующее сообщение, а также сценарий установки порекомендует сделать резервную копию сертификата центра сертификации CA и убедиться в том, что требуемые сетевые порты сервера IPA открыты для входящих соединений:

The following operations may take some minutes to complete.
Please wait until the prompt is returned.
Adding [10.10.20.8 ipa.rosa.lan] to your /etc/hosts file
Disabled p11-kit-proxy
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Configuring directory server (dirsrv). Estimated time: 30 seconds
[1/43]: creating directory server instance
Validate installation settings ...
Create file system structures ...
Perform SELinux labeling ...
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/bak.
Setting label dirsrv_config_t in seLinux file context /etc/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/db.
Setting label dirsrv_var_lib_t in seLinux file context /var/lib/dirsrv/slapd-ROSA-LAN/ldif.
Setting label dirsrv_var_lock_t in seLinux file context /var/run/lock/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_var_log_t in seLinux file context /var/log/dirsrv/slapd-ROSA-LAN.
Setting label dirsrv_tmpfs_t in seLinux file context /dev/shm/slapd-ROSA-LAN.
Setting label dirsrv_var_run_t in seLinux file context /var/run/dirsrv.
Setting label dirsrv_config_t in seLinux file context /etc/dirsrv/slapd-ROSA-LAN/schema.
Create database backend: dc=rosa,dc=lan ...
Perform post-installation tasks ...
[2/43]: tune ldbm plugin
[3/43]: adding default schema
. . .
. . .
Done configuring the web interface (httpd).
Configuring Kerberos KDC (krb5kdc)
[1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
Applying LDAP updates
Upgrading IPA:. Estimated time: 1 minute 30 seconds
[1/10]: stopping directory server
[2/10]: saving configuration
[3/10]: disabling listeners
[4/10]: enabling DS global lock
[5/10]: disabling Schema Compat
[6/10]: starting directory server
[7/10]: upgrading server
[8/10]: stopping directory server
[9/10]: restoring configuration
[10/10]: starting directory server
Done.
Restarting the KDC
dnssec-validation yes
Configuring DNS (named)
[1/12]: generating rndc key file
[2/12]: adding DNS container
[3/12]: setting up our zone
[4/12]: setting up reverse zone
[5/12]: setting up our own record
[6/12]: setting up records for other masters
[7/12]: adding NS record to the zones
[8/12]: setting up kerberos principal
[9/12]: setting up named.conf
created new /etc/named.conf
created named user config "/etc/named/ipa-ext.conf"
created named user config "/etc/named/ipa-options-ext.conf"
created named user config "/etc/named/ipa-logging-ext.conf"
[10/12]: setting up server configuration
[11/12]: configuring named to start on boot
[12/12]: changing resolv.conf to point to ourselves
Done configuring DNS (named).
Restarting the web server to pick up resolv.conf changes
Configuring DNS key synchronization service (ipa-dnskeysyncd)
[1/7]: checking status
[2/7]: setting up bind-dyndb-ldap working directory
[3/7]: setting up kerberos principal
[4/7]: setting up SoftHSM
[5/7]: adding DNSSEC containers
[6/7]: creating replica keys
[7/7]: configuring ipa-dnskeysyncd to start on boot
Done configuring DNS key synchronization service (ipa-dnskeysyncd).
Restarting ipa-dnskeysyncd
Restarting named
Updating DNS system records
Configuring SID generation
[1/8]: creating samba domain object
[2/8]: adding admin(group) SIDs
[3/8]: adding RID bases
[4/8]: updating Kerberos config
"dns_lookup_kdc" already set to "true", nothing to do.
[5/8]: activating sidgen task
[6/8]: restarting Directory Server to take MS PAC and LDAP plugins changes into account
[7/8]: adding fallback group
[8/8]: adding SIDs to existing users and groups
This step may take considerable amount of time, please wait..
Done.
Restarting the KDC
Configuring client side components
This program will set up IPA client.
Version 4.9.13
Using existing certificate "/etc/ipa/ca.crt".
Client hostname: ipa.rosa.lan
Realm: ROSA.LAN
DNS Domain: rosa.lan
IPA Server: ipa.rosa.lan
BaseDN: dc=rosa,dc=lan
Configured /etc/sssd/sssd.conf
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2001_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2012_512_key.pub
Adding SSH public key from /etc/ssh/ssh_host_gost2012_256_key.pub
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Configuring rosa.lan as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
==============================================================================
Setup complete
Next steps:
1. You must make sure these network ports are open:
TCP Ports:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
UDP Ports:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. You can now obtain a kerberos ticket using the command: "kinit admin"
This ticket will allow you to use the IPA tools (e.g., ipa user-add)
and the web user interface.
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful

Примечание – Часть вывода в консоль в примере выше была опущена. Справочно приводятся начальная и конечная часть вывода в консоль с подтверждением успешности установки сервера IPA.

Сообщение "The ipa-server-install command was successful" свидетельствует о том, что установка прошла успешно.

Инициализация учетной записи администратора сервера IPA и настройка параметров учетной записи

Инициализация учетной записи администратора

Для получения билета Kerberos для учетной записи администратора admin необходимо выполнить команду kinit с указанием принципала. kinit получает и кеширует начальный билет на выдачу билетов для принципала.

Для получения билета Kerberos для учетной записи администратора admin нужно выполнить в консоли сервера IPA команду:

kinit admin

Далее необходимо подтвердить полномочия администратора, введя его пароль, например:

kinit admin
Password for admin@ROSA.LAN:

Проверка учетной записи администратора

Для проверки корректной работы сервера и наличия учетной записи администратора используют команду:

ipa user-find admin

которая осуществляет поиск нужного пользователя и вывод базовых параметров этой учетной записи.

Пример:

ipa user-find admin
---------------------------------------
установлено соответствие 1 пользователя
---------------------------------------
Имя учётной записи пользователя: admin
Фамилия: Administrator
Домашний каталог: /home/admin
Оболочка входа: /bin/bash
Псевдоним учётной записи: admin@ROSA.LAN, root@ROSA.LAN
UID: 702400000
ID группы: 702400000
Учётная запись отключена: False
---------------------------------
Количество возвращённых записей 1
---------------------------------

В данном примере была обнаружена учетная запись admin. При этом учетная запись включена (не заблокирована).

Примечание – Если при выполнении запроса к серверу IPA выводится сообщение об ошибке вида:

ipa user-find n.petrov
ipa: ERROR: Срок действия билета истек

то необходимо обновить билет Kerberos, выполнив команду kinit admin, и подтвердить полномочия вводом пароля администратора.

Для проверки наличия действительных (валидных) билетов Kerberos можно использовать команду klist:

klist
Ticket cache: KCM:0
Default principal: admin@ROSA.LAN
Valid starting       Expires              Service principal
03.03.2025 20:15:40  04.03.2025 19:50:10  HTTP/ipa.rosa.lan@ROSA.LAN
03.03.2025 20:13:30  04.03.2025 19:50:10 krbtgt/ROSA.LAN@ROSA.LAN

где:

  • Default principal ‒ принципал, используемый по умолчанию (в примере выше ‒ admin@ROSA.LAN);
  • Valid starting ‒ дата и время, начиная с которого действует билет Kerberos (в примере выше ‒ 03.03.2025 20:15:40);
  • Expires ‒ дата и время окончания строка действия билета Kerberos (в примере выше ‒ 04.03.2025 19:50:10);
  • Service principal ‒ принципал службы (ресурс, к которому предоставляется доступ). В примере выше ‒ HTTP/ipa.rosa.lan@ROSA.LAN и HTTP/ipa.rosa.lan@ROSA.LAN;

Для добавления новых пользователей в каталог пользователей сервера IPA можно воспользоваться консольной утилитой:

ipa user-add

или использовать веб-интерфейс сервера IPA.

Параметры команды добавления нового пользователя сервера IPA

Для получения списка актуальных параметров при добавлении нового пользователя можно использовать команду ipa user-add ‒help:

ipa user-add --help
Usage: ipa [global-options] user-add LOGIN [options]
Добавить нового пользователя.
Options:
-h, --help            show this help message and exit
--first=STR           Имя
--last=STR            Фамилия
--cn=STR              Полное имя
--displayname=STR     Отображаемое имя
--initials=STR        Инициалы
--homedir=STR         Домашний каталог
--gecos=STR           GECOS
--shell=STR           Оболочка входа
--principal=PRINCIPAL
Псевдоним учётной записи
--principal-expiration=DATETIME
Окончание действия учётной записи Kerberos
--password-expiration=DATETIME
Окончание действия пароля пользователя
--email=STR           Адрес электронной почты
--password            Запросить пароль у пользователя
--random              Создать случайный пользовательский пароль
--uid=INT             ID пользователя (если не указан, система назначит его
самостоятельно)
--gidnumber=INT       ID группы
--street=STR          Адрес
--city=STR            Город
--state=STR           Область/республика
--postalcode=STR      Индекс
--phone=STR           Номер телефона
--mobile=STR          Номер мобильного телефона
--pager=STR           Номер пейджера
--fax=STR             Номер факса
--orgunit=STR         Отдел
--title=STR           Должность
--manager=STR         Руководитель
--carlicense=STR      Номер автомобиля
--sshpubkey=STR       Открытый ключ SSH
--user-auth-type=["password", "radius", "otp", "pkinit", "hardened", "idp"]
Поддерживаемые типы аутентификации пользователей
--class=STR           Категория пользователей (семантика этого атрибута
предназначена для локального разбора)
--radius=STR          Конфигурация прокси RADIUS
--radius-username=STR
Имя пользователя прокси RADIUS
--idp=STR             External IdP configuration
--idp-user-id=STR     A string that identifies the user at external IdP
--departmentnumber=STR
Номер отдела
--employeenumber=STR  Номер сотрудника
--employeetype=STR    Тип сотрудника
--preferredlanguage=STR
Предпочитаемый язык
--certificate=CERTIFICATE
Base-64 шифрованный сертификат пользователя
--setattr=STR         Установить атрибут для пары имя/значение. Формат:
атрибут=значение. Если атрибут многозначный,  команда
заменяет уже присутствующие значения.
--addattr=STR         Добавить пару атрибут/значение. Формат:
атрибут=значение. Атрибут должен быть частью схемы.
--noprivate           Не создавать личную группу пользователя
--all                 Получить и вывести все атрибуты, возвращаемые
сервером. Влияет на содержимое результата исполнения
команды.
--raw                 Вывести записи в том виде, в котором они хранятся на
сервере. Влияет только на формат вывода данных.
--no-members          Подавить обработку атрибутов участия.

Пример добавления нового пользователя с логином "a.ivanov", именем "Александр", фамилией "Иванов" и отображаемым именем "Александр Иванов":

ipa user-add a.ivanov \
--first="Александр" \
--last="Иванов" \
--displayname="Александр Иванов"

По умолчанию пользователь будет добавлен в группу ipausers:

ipa user-add a.ivanov \
> --first="Александр" \
> --last="Иванов" \
> --displayname="Александр Иванов"
--------------------------------
Добавлен пользователь "a.ivanov"
--------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Полное имя: Александр Иванов
Отображаемое имя: Александр Иванов
Инициалы: АИ
Домашний каталог: /home/a.ivanov
GECOS: Александр Иванов
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Пароль: False
Участник групп: ipausers
Доступные ключи Kerberos: False

Строка "Участник групп: ipausers" показывает, что данный пользователь был добавлен в группу ipausers.

Примечание – В примере выше новый пользователь с логином "a.ivanov" был добавлен в каталог пользователей без указания пароля и срока окончания действия пароля. Для возможности успешного входа в систему должен быть задан пароль учетной записи и указан срок окончания действия пароля с "датой/временем", которые наступят позднее.

Добавление или смена пароля пользователя

Для добавления или смены пароля пользователя используют команду:

ipa user-mod user_name ‒password

где "user_name"‒ это имя пользователя.

Пример:

ipa user-mod a.ivanov --password
Пароль:
Введите Пароль ещё раз для проверки:
-------------------------------
Изменён пользователь "a.ivanov"
-------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
Пароль: True
Участник групп: ipausers
Доступные ключи Kerberos: True

После запуска команды появится запрос:

Пароль:

в котором необходимо указать требуемый (желаемый) пароль пользователя.

Затем появится запрос:

Введите Пароль ещё раз для проверки:

и в нем необходимо повторно указать пароль пользователя (для проверки правильности введенного ранее пароля).

При условии, что оба введенных после подсказок пароля совпадают, пароль для пользователя будет изменён.

Информация в выводе на терминал "Пароль: True" сообщает о том, что пароль был успешно создан (изменён).

Изменения срока действия пароля пользователя

Для изменения срока действия пароля пользователя используют команду:

ipa user-mod user_name ‒password-expiration

где "user_name" ‒ это имя пользователя:

Следует указать "дату/время" окончания действия пароля в формате "год-месяц-число час:минута:секунда" так, чтобы дата и время окончания срока действия учетной записи наступали позднее текущего момента. Например, можно указать дату +3 месяца от текущей даты.

Пример:

ipa user-mod a.ivanov --password-expiration="2025-09-01 12:00:00Z"
-------------------------------
Изменён пользователь "a.ivanov"
-------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Окончание действия пароля пользователя: 20250903120000Z
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
Пароль: True
Участник групп: ipausers
Доступные ключи Kerberos: True

В данном примере строка "Окончание действия пароля пользователя: 20250903120000Z" означает "Окончание действия пароля пользователя ‒ 2025-09-01 12:00:00Z" (год 2025, месяц 09, число 03, время 12:00, 00 секунд).

При необходимости внесения изменения в срок действия пароля пользователя указанные выше действия можно повторить.

Изменения срока действия пароля пользователя с помощью поля krbPasswordExpiration

Для изменения срока действия пароля пользователя с помощью модификации поля "krbPasswordExpiration" используют команду:

ipa user-mod user_name ‒setattr=krbPasswordExpiration

где "user_name" ‒ это имя пользователя.

Следует указать "дату/время" окончания действия пароля в формате "год-месяц-число-час-минуты-секунды" (без дефисов), например "20250817010000Z" (год 2025, месяц 08, число 17, время 01:00, 00 секунд):

ipa user-mod n.petrov --setattr=krbPasswordExpiration=20250817010000Z
-------------------------------
Изменён пользователь "n.petrov"
-------------------------------
Имя учётной записи пользователя: n.petrov
Имя: Николай
Фамилия: Петров
Домашний каталог: /home/n.petrov
Оболочка входа: /bin/sh
Имя учётной записи: n.petrov@ROSA.LAN
Псевдоним учётной записи: n.petrov@ROSA.LAN
Окончание действия пароля пользователя: 20250817010000Z
Адрес электронной почты: n.petrov@rosa.lan
UID: 702400005
ID группы: 702400005
Учётная запись отключена: False
Пароль: False
Участник групп: ipausers
Доступные ключи Kerberos: False

Проверки даты и времени окончания срока действия пароля учетной записи пользователя

Для проверки даты и времени окончания срока действия пароля учетной записи пользователя используют команду:

ipa user-show user_name --all ‒raw

где "user_name" ‒ имя пользователя и далее фильтр по атрибуту "krbPasswordExpiration".

Пример 1:

ipa user-show a.ivanov --all --raw | grep krbPasswordExpiration
krbPasswordExpiration: 20250903120000Z

Значение поля "krbPasswordExpiration" соответствует дате и времени окончания срока действия пароля учетной записи ‒ "20250903120000Z" (год 2025, месяц 09, число 03, время 12:00, 00 секунд).

Пример 2:

ipa user-show n.petrov --all --raw | grep krbPasswordExpiration
krbPasswordExpiration: 20250817010000Z

где "20250817010000Z" – год 2025, месяц 08, число 17, время 01:00, 00 секунд

Проверка наличия пользователя в каталоге IPA

Для проверки наличия пользователя в каталоге IPA используют команду:

ipa user-find

Если пользователь отсутствует в каталоге, то будет выведено сообщение, что пользователь не найден:

ipa user-find n.petrov
----------------------------------------
установлено соответствие 0 пользователей
----------------------------------------
---------------------------------
Количество возвращённых записей 0
---------------------------------

Если пользователь присутствует в каталоге, то будет выведено сообщение с параметрами учетной записи пользователя:

ipa user-find a.ivanov
---------------------------------------
установлено соответствие 1 пользователя
---------------------------------------
Имя учётной записи пользователя: a.ivanov
Имя: Александр
Фамилия: Иванов
Домашний каталог: /home/a.ivanov
Оболочка входа: /bin/sh
Имя учётной записи: a.ivanov@ROSA.LAN
Псевдоним учётной записи: a.ivanov@ROSA.LAN
Адрес электронной почты: a.ivanov@rosa.lan
UID: 702400003
ID группы: 702400003
Учётная запись отключена: False
---------------------------------
Количество возвращённых записей 1
---------------------------------

Альтернативным способом запроса данных пользователя из каталогов IPA является утилита ldapsearch. Для проверки наличия пользователя в каталоге или запроса параметров учетной записи пользователя нужно выполнить команду:

ldapsearch -x uid=<идентификатор пользователя>

где идентификатор пользователя ‒ это уникальный идентификатор пользователя в системе (UID).

Пример:

ldapsearch -x uid=a.ivanov
extended LDIF
#
LDAPv3
base <dc=rosa,dc=lan> (default) with scope subtree
filter: uid=a.ivanov
requesting: ALL
#
a.ivanov, users, compat, rosa.lan
dn: uid=a.ivanov,cn=users,cn=compat,dc=rosa,dc=lan
objectClass: posixAccount
objectClass: ipaOverrideTarget
objectClass: top
gecos:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
cn:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
uidNumber: 702400003
gidNumber: 702400003
loginShell: /bin/sh
homeDirectory: /home/a.ivanov
ipaAnchorUUID:: OklQQTpyb3NhLmxhbjo4MzI1YWMxOC1mODUzLTExZWYtYjAxMC1iYzI0MTE3ZD
YwNzY=
uid: a.ivanov
a.ivanov, users, accounts, rosa.lan
dn: uid=a.ivanov,cn=users,cn=accounts,dc=rosa,dc=lan
givenName:: 0JDQu9C10LrRgdCw0L3QtNGA
sn:: 0JjQstCw0L3QvtCy
uid: a.ivanov
cn:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
displayName:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
initials:: 0JDQmA==
gecos:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==
objectClass: top
objectClass: person
objectClass: organizationalperson
objectClass: inetorgperson
objectClass: inetuser
objectClass: posixaccount
objectClass: krbprincipalaux
objectClass: krbticketpolicyaux
objectClass: ipaobject
objectClass: ipasshuser
objectClass: ipaSshGroupOfPubKeys
objectClass: mepOriginEntry
objectClass: ipantuserattrs
loginShell: /bin/sh
homeDirectory: /home/a.ivanov
uidNumber: 702400003
gidNumber: 702400003
ipaNTSecurityIdentifier: S-1-5-21-2779713119-1389312704-1424425367-1003
search result
search: 2
result: 0 Success
numResponses: 3
numEntries: 2

Если в каких-либо полях учетной записи используется русский алфавит, то вывод значения данного поля будет закодирован в кодировке base64.

Например, в выводе в консоли выше поле "displayName" закодировано в кодировке base64:

displayName:: 0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==

Для декодирования содержимого поля (и его последующей проверки) в командной строке можно использовать утилиту base64.

Пример:

echo "0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg==" | base64 --decode
Александр Иванов

В данном случае содержимое поля "displayName" ("отображаемое имя") декодируется как "Александр Иванов".

Также для декодирования кодировки base64 можно использовать утилиту openssl.

Пример:

openssl enc -base64 -d <<< "0JDQu9C10LrRgdCw0L3QtNGAINCY0LLQsNC90L7Qsg=="
Александр Иванов

Содержимое поля "displayName" ("отображаемое имя") декодируется как "Александр Иванов".

Настройка межсетевого экрана для сервера IPA

Для открытия требуемых портов сервера IPA в зоне "default" службы межсетевого экрана firewalld нужно выполнить следующую консольную команду (список требуемых портов приведен в таблице 4):

firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,\
636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp}

Примечание ‒ Не следует беспокоиться о том, что сервер IPA использует порты 80 и 389:

  • Порт 80 (HTTP) используется для предоставления откликов протокола проверки статуса сертификата (OCSP) и списков аннулирования сертификатов (CRL). Обе программы имеют цифровую подпись и поэтому защищены от атак через посредника (man-in-the-middle);
  • Порт 389 (LDAP) использует STARTTLS и GSSAPI для шифрования.

Для применения изменений необходимо перезагрузить конфигурацию межсетевого экрана, выполнив следующую консольную команду:

firewall-cmd --reload

После установки ПО сервера IPA и настройки межсетевого экрана станет доступным вход в веб-интерфейс управления сервером IPA.

Для проверки статуса работы межсетевого экрана firewalld можно выполнить команду:

[root@ipa ~]# systemctl status firewalld.service
 firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2025-01-01 19:47:45 MSK; 40min ago
Docs: man:firewalld(1)
Main PID: 735 (firewalld)
Tasks: 3 (limit: 10622)
Memory: 53.0M
CGroup: /system.slice/firewalld.service
└─735 /usr/bin/python3.6 -s /usr/sbin/firewalld --nofork --nopid
мар 03 19:47:44 ipa.rosa.lan systemd[1]: Starting firewalld - dynamic firewall daemon...
мар 03 19:47:45 ipa.rosa.lan systemd[1]: Started firewalld - dynamic firewall daemon.

Статус "Active: active (running)" сообщает о том, что межсетевой экран активен.

Вход в веб-интерфейс сервера IPA

Для доступа к веб-интерфейсу необходимо ввести в адресной строке браузера (на внешней рабочей станции) доменное имя или IP-адрес сервера IPA, например:

https://ipa.rosa.lan

На экране появится окно авторизации интерфейса (рисунок 86).

Рисунок 86 – Окно авторизации интерфейса управления сервером IPA

Первичный вход в интерфейс управления сервером IPA осуществляется от имени учетной записи администратора admin. Предварительно необходимо получить билет Kerberos для учетной записи admin, выполнив в консоли команду:

kinit admin

Для входа в интерфейс нужно ввести имя (логин) и пароль пользователя в соответствующие поля, после чего нажать кнопку Войти.

После входа в веб-интерфейс сервера IPA будет отображена панель управления сервером IPA. По умолчанию будет открыта вкладка "Идентификация → Активные пользователи" (рисунок 87).

Рисунок 87 – Веб-интерфейс сервера IPA ‒ вкладка "Идентификация" → "Активные пользователи"

Если ранее какие-либо пользователи уже были добавлены в каталог IPA, используя интерфейс командной строки, то эти пользователи будут отображены в списке активных пользователей.