Сегодня будем проводить настройку контроллера домена на базе FeeIPA.
- Скачаем пакеты haveged:
# apt-get update && apt-get install -y haveged - Включаем и запускаем службу haveged:
# systemctl enable --now haveged - Установим пакет FreeIPA:
# apt-get install -y freeipa-server - Запускаем интерактивную установку FreeIPA:
# ipa-server-install
Отвечаем no на вопрос, нужно ли сконфигурировать DNS-сервер BIND.
В остальных полях нужно указать имя узла на котором будет установлен сервер FreeIPA, доменное имя и пространство Kerberos.
Далее указываем пароль менеджера и администратора домена.
Соглашаемся с информацией о конфигурации домена:
После завершения установки необходимо добавить DNS записи домена в company.loc
Это нужно чтобы клиенты могли определить наш сервер как контроллер домена.
Перезапустим bind чтобы обновить доступные записи:
# systemctl restart bind
Проверим работу служб FreeIPA:
Авторизуемся в домене и получим билет:
# kinit admin
Создадим пользователей:
for i in {1..30}; do
echo "P@ssw0rd" | ipa user-add user$i --first=User --last=$i --password;
ipa user-mod user$i --setattr=krbPasswordExpiration=20251225011529Z;
done
Создадим группы:
for i in {1..3}; do
ipa group-add group$i;
done
Добавим пользователей в группы:
for i in {1..10}; do
ipa group-add-member group1 --users=user$i;
done
for i in {11..20}; do
ipa group-add-member group2 --users=user$i;
done
for i in {21..30}; do
ipa group-add-member group3 --users=user$i;
done
Вводим клиента в домен:
Перезапускаем клиента
Проверяем сертификат домена:
Основной источник: ссылка