Приветствую тебя, авантюрист. При переходе с Windows на Linux одной из важнейших задач для меня было перенести домен контроллер. Домен контроллер - это не только управление политиками, а еще и централизованная авторизация пользователей. Именно этот функционал мне необходим в первую очередь. Во вселенной linux есть довольно много реализаций домена. Среди них есть очень серьезные продукты, такие как freeIPA, openLDAP, Samba DC и т.д. Также у Астра линукс есть собственная реализация домен контроллера - ALD. Так как у меня уже имеется опыт работы именно с FreeIPA, а ALD может работать только с системами Астра, то я, не долго думая, остановился именно на FreeIPA.
Подготовка
Сервер FreeIPA довольно требовательный, запускать его на старом целероне с 512 Мб памяти и одноядерным процессором очень плохая идея.
Настраиваем два компьютера: сервер и клиент.
Устанавливаем Астру на компьютер клиента. Процесс установки подробно расписан вот тут.
Точно также устанавливаем сервер, но так как на сервере нам не нужна графическая оболочка, то снимаем все не нужные галочки.
А в остальном все также. Теперь нужно поднять сеть на сервере.
Поднимаем сеть на сервере
По дефолту у нас не установлен NetworkManager, поэтому перед тем как приступить к настройке нужно его установить. Сам пакет можно найти на установочном диске Астры. Вставляем диск в CD-ROM или монтируем образ командой
mount «/путь к iso» «/meda/cdrom» –o loop
Затем выполняем команду для установки
sudo apt update
Sudo apt install network-manager
После установки можно настроить сеть. Так как у нас нет графического интерфейса, и возиться в конфиг файлах я не хочу, есть замечательная утилита nmtui. Она поможет нам настроить сеть в 2 «клика» при помощи псевдографического интерфейса. Выглядит она вот так
Думаю тут излишне что-то описывать: жмем «подключиться», выбираем нужное соединение и все. Проверяем получили ли мы ip-адрес командой
ip a
Если адрес есть, то пинугемся, проверяем доступность.
Обновление систем
Обязательно обновляем системы до актуальных версий. Как это сделать описано здесь. Для сервера пакет ca-certeficates ставить не нужно, он подтягивается автоматический вместе с network-manager.
Устанавливаем на сервер FreeIPA
Первым делом для домен контроллера пропишим статический ip-адрес. Далее нам надо установить пакет astra-freeipa-server командой
sudo apt install astra-freeipa-server
Будет подгружено ооочень много пакетов. Соглашаемся, ожидаем. К слову, для FreeIPA есть некий пакет fly-admin-freeipa-server, по названию можно понять что это утилита управления домен контроллером, но так как мы не ставили графическую оболочку данный пакет работать не будет. Управлять же доменом мы будем через браузер.
В процессе установки будет некое информационное сообщение, просто жмем «enter» и продолжаем.
Теперь обязательно прописываем доменное имя нашего домен контроллера. Именно полное, то есть FQDN имя. Имя это должно находиться в файле /etc/hostname. Просто открываем его любым текстовым редактором и вписываем например: dc.example.ru, где example.ru - наш домен.
Перезагружаем сервер.
Теперь необходимо инициировать домен контроллер. Для этого вводим команду
sudo astra-freeipa-server -o
Мне было лень настраивать статический ip-адрес, поэтому ты видишь предупреждение. Я жму «Y». Нам предлагают ввести пароль администратора контроллера домена.
Теперь программа инициализации выполнит все необходимые действия. Обрати внимание, что данные о домене она возьмет из того самого файла /etc/hostname. Если он настроен некорректно, то вся настройка пойдет на смарку.
Процесс займет время...ждем...
Если все прошло хорошо, то в конце ты увидишь что-то типа этого
Как тут и написано перезагружаемся.
Теперь домен контроллер готов к работе. Пробуем зайти на веб-интерфейс с будующего клиента, убеждаемся, что все работает. Прописываем на клиенте в качестве DNS сервера адрес контроллера домена и вбиваем в браузере ip 192.168.0.171
Отлично сервер нам ответил. Браузер говорит, что сертификат так себе. И в целом он прав - сертификат самоподписанный, поэтому просто жмем дополнительно и жмем «принять риск и продолжить»
Вуа-ля!
Настройка клиента
На клиенте нам нужно установить нужный пакет командой
sudo apt install fly-admin-freeipa-client
Будет тоже предложено скачать много зависимостей, соглашаемся и ждем.
В процессе установки будет что-то написано про PAM, просто жмем «окей». После установки на всякий случай перезагрузимся.
Теперь в панели управления во вкладке «сеть» появится новый заначек «Настройка FreeIPA clien Fly»
Кликаем на него и вводим необходимые данные
Пароль вводим тот, который мы вводили при инициализации домена. Жмем «подключиться».
Вот и все. Мы в домене. Кнопочка «подключиться» изменится на «Отключиться». Это значит все прошло отлично.
Итог
Для реализации домен контроллера тебе необходимо, задать статический ip-адрес, вписать имя контроллера в файле hstsname, установить пакет astra-freeipa-server и инициализировать контроллер на сервере. На клиенте тебе необходимо в качестве DNS прописать адрес домен контроллера, установить пакет fly-admin-freeipa-client, и после чего в панели управления во вкладке сеть перейти в пункт «Настройка FreeIPA clien Fly». В открывшемся окне ввести необходимые данные и нажать кнопку «подключится».
Теперь ты можешь зайти в админку FreeIPA, создать пользователя и залогиниться на клиенте уже под новым пользователем. Как этим управлять и как с этим жить поговорим в следующих статьях.
Ну и, как обычно, удачи, авантюрист!