Alt Linux FreeIpa

В смысле- установка FreeIpa на Alt Linux сервер.

FreeIpa - это аналог Active Directory. Ставится она легко, если знать- как. А если не знать- можно хорошо так повозиться.

Для начала сделаем на нашем сервере общедоступную папку, чтобы не возиться с флешками и т.д.

Ставим Самбу: apt-get install samba

Создаем папку:

mkdir /temp

chmod -R 777 /temp

Затираем файл настройки: echo > /etc/samba/smb.conf , затем открываем его: mcedit /etc/samba/smb.conf и заполняем этим вот содержимым:

[global]
socket options = TCP_NODELAY
os level = 20
map to guest = Bad user
ntlm auth = Yes
server min protocol = NT1

[temp]
comment = temp
path = /temp
public = yes
only guest = yes
writable = yes
read only = no
create mask = 0777
directory mask = 0777
force create mode = 0777
force directory mode = 0777
vfs objects = full_audit
; browseable = yes

Выходим с сохранением и перезапускаем Самбу: systemctl restart smb . Убеждаемся, что Самба запустилась: systemctl status smb - должна быть строка "active (running)"

Теперь мы можем зайти через сеть по пути \\ip-адрес-сервера\temp и положить, что нужно.

Отключаем ahttpd:

systemctl disable ahttpd

systemctl stop ahttpd

Также, можно на всякий случай проверить, что никто не сидит на портах 80, 8080, 443- если они будут заняты- настройка вылетит с ошибкой. Проще всего это сделать: telnet localhost номер_порта

Наш сервер называется srv-ipa.xz.loc(или просто srv-ipa- можно и так)

IP нашего сервера- 192.168.0.10 , шлюз- 192.168.0.1, ДНС- 192.168.0.1

ДНС должен быть реальным- т.е. чтобы, например, команда nslookup ya.ru отрабатывала нормально.

Устанавливаем: apt-get install freeipa-server-dns

После установки запускаем настройку: ipa-server-install

Спросит- настраивать ли BIND - отвечаем yes

Спросит имя сервера- пишем его полностью: srv-ipa.xz.loc

После этого спросить про домен- подтверждаем. Дальше программа настройки будет искать наш домен xz.loc и, естественно, не найдет(его нет еще потому что). Спросит IP-адрес ДНС-а, где можно найти этот домен- пишем ему адрес нашего сервера 192.168.0.10. Потом где-то там предложит создать пароли- лучше писать один и тот же, потом можно поменять.

На все вопросы отвечаем Yes, sir, в конце напишет, что все удачно. Если нет- напишет имя лог-файла, который можно почитать.

Если выйдет ошибка Command '/sbin/systemctl restart httpd2.service' returned non-zero exit status 1 - то

перезапускаем- systemctl restart httpd2,

удаляем настройки: ipa-server-install -U --uninstall (да, вы угадали- это команда удаления настроек IPA)

и снова запускаем настройку: ipa-server-install

Чтобы узнать- все ли правильно установилось- запускаем kinit admin , спросит пароль, который мы придумали при настройке, вводим его и после того, как снова выйдет приглашение, вводим klist и выйдет примерно такое вот:

Valid starting Expires Service principal

16.01.2025 13:11:40 17.01.2025 12:56:10 krbtgt/XZ.LOC@XZ.LOC

Если не выйдет- значит, что-то не получилось.

Для управления FreeIPA заходим через браузер по имени или IP-адресу(если делаем это прямо на сервере- то можно просто на localhost).

Кстати, папка temp нам так и не понадобилась. А зачем тогда она нужна? Ну, вдруг пригодится :)

На этом всё.