4 подписчика

Настройка сервера домена

15 апреля 202415 апр 2024

$HQ-SRV: «кд freeipa astra linux» wiki.astralinux.ru Установить: sudo apt install astra-freeipa-server –y Может быть требовать вставить диск: Устройства  Оптические диски  «alce-current.iso». Нажать Enter. В окнах псевдографики нажать «ОК» с помощью Enter. Запустить быструю инициализацию: sudo astra-freeipa-server -d hq.work -n hq-srv -px -ip 172.16.100.50 -o s(установить samba для 4 задания) -y На сообщение «продолжать? (y\n)» Для подтверждения введите «y» и нажмите Enter. Будет сообщение о создании пароля для admin, сначала один раз потом подтвердить его надо будет. Я ввёл дефолтный пароль P@ssw0rd. Эти данные понадобятся для авторизации на сайте freeipa. В слуачае удачного завершения будет выдана ссылка, по которой нужно перейти в браузере WEB: https://hq-srv.hopin.sa В случае если при инициализации домена возникнет ошибка: sudo krb5_newrealm. При выполнении команды нужно будет ввести и подтвердить пароль администратора, после чего будут автоматически созданы нужные базы данных. Перезапустить kerberous: sudo systemctl restart krb5-kdc.service И снова попробовать инициализировать сервер домена. CLI: Понадобится браузер. Если никакого нет, то Яндекс.Браузер может быть установлен с помощью команды: sudo apt install yandex-browser-stable Открыть Яндекс браузер и в поисковой строке ввести: https://hq-srv.hq.work. В полях аутентификации ввести логин: admin; пароль: P@ssw0rd. На странице «Активные пользователи» нажать «+ Добавить». Таблица Имя учётной записи пользователя Имя Фамилия branch_admin Branch admin network_admin Network admin Пароль для этих пользователей: P@ssw0rd. Настройте DNS-сервер на сервере HQ-SRV: a. На DNS сервере необходимо настроить 2 зоны В правом верхнем углу страницы нажать на «»  «Сетевые службы». Снова нажать на «»  «DNS»  «Зоны DNS». Если зон DNS -2, «hq.work» и «100.16.172.in-addr.arpa», то всё хорошо и можно переходить дальше. Если зона одна – «hq.work», то создать обратную ей. Для создания зоны нажать «+Добавить». Для создания обратной зоны выбрать «IP-сеть обратной зоны» ввести сеть HQ, например, 172.16.100.0/26. Таблица – Зоны DNS Прямого просмотра Обратного просмотра Имя зона IP-сеть обратной зоны hq.work 172.16.100.0/26 branch.work 192.168.10.0/28 Выбрать зону hq-work нажать «+Добавить». Добавить записи в соответствии с таблицей. Так как запись hq-srv в зоне hq-work, создана при инициализации домена, то её не добавлять. Таблица – Зона hq.work Имя записи Тип записи IP Address hq-r A 172.16.100.1 hq-srv A 172.16.100.50 Таблица – Зона branch.work Имя записи Тип записи IP Address br-r A 192.168.10.1 br-srv A 192.168.10.14 Таблица – Зона 10.168.192.in-addr-arpa(обратная branch.work) Имя записи Тип записи Hostname 1 PTR br-r Таблица – Зона 100.168.172.in-addr-arpa(обратная hq.work) Имя записи Тип записи Hostname 1 PTR hq-r 50 PTR hq-srv Если обратная зона hq.work была создана системой freeipa при инициализации домена, то не нужно добавлять запись PTR для HQ-SRV. A) Введите машины BR-SRV и CLI в данный домен CLI: установить astra-freeipa-client sudo apt-get update && sudo apt install install fly-admin-freeipa-client -y Открыть окно настройки клиента FreeIPA: Sudo fly-admin-freeipa-client Домен: hopin.sa Логин: admin Пароль: P@ssw0rd Нажать «Подключиться» По завершении успешного подключения в статусе будет сообщение: Обнаружен настроенный клиент в домене hopin.sa BR-SRV: Sudo nano /etc/resolv.conf Nameserver 172.16.100.50 Nameserver 8.8.8.8 Sudo apt install astra-freeipa-client sudo astra-freeipa-client -d hopin.sa «продолжать ? (y\n)» ввести «y», нажать Enter. «Введите пароль администратора домена» - ввести пароль пользователя admin: P@ssw0rd. a. Организуйте отслеживание подключения к домену По умолчанию, во FreeIPA, для уменьшения нагрузки на серверы, отключено отслеживание последней успешной аутентификации пользовательских аккаунтов. Здесь описано, как выключить и вновь включить плагин, отвечающие за эту опцию. BR-SRV и CLI: Попробуем подключиться к созданным пользователям : Аутентификация в качестве пользователя su <имя пользователя> Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно. 1 способ CLI: На странице freeipa-serverа в браузере IPA Server — Configuration — Password plugin features: ☑ KDCisable Last Success - отключить плагин 2 способ HQ-SRV: На каждом сервере FreeIPA смотрим текущие применяемые password-плагины: sudo ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDCisable Last Success Отключаем плагин блокирующий трэкинг последней успешной аутентификации, оставляя прочие плагины включёнными: sudo ipa config-mod --ipaconfigstring='AllowNThash' Если нагрузка на сервер превысила его ресурсы, то вновь отключаем трэкинг последней успешной аутентификации: sudo ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDCisable Last Success' Перезапустите IdM: sudo ipactl restart Посмотреть дата/время последней успешной аутентификации: sudo ipa user-status <имя пользователя>$

HQ-SRV: «кд freeipa astra linux» wiki.astralinux.ru Установить: sudo apt install astra-freeipa-server –y Может быть требовать вставить диск: Устройства  Оптические диски  «alce-current.iso». Нажать Enter. В окнах псевдографики нажать «ОК» с помощью Enter. Запустить быструю инициализацию: sudo astra-freeipa-server -d hq.work -n hq-srv -px -ip 172.16.100.50 -o s(установить samba для 4 задания) -y На сообщение «продолжать? (y\n)» Для подтверждения введите «y» и нажмите Enter. Будет сообщение о создании пароля для admin, сначала один раз потом подтвердить его надо будет. Я ввёл дефолтный пароль P@ssw0rd. Эти данные понадобятся для авторизации на сайте freeipa. В слуачае удачного завершения будет выдана ссылка, по которой нужно перейти в браузере WEB: https://hq-srv.hopin.sa В случае если при инициализации домена возникнет ошибка: sudo krb5_newrealm. При выполнении команды нужно будет ввести и подтвердить пароль администратора, после чего будут автоматически созданы нужные базы данных. Перезапустить kerberous: sudo systemctl restart krb5-kdc.service И снова попробовать инициализировать сервер домена. CLI: Понадобится браузер. Если никакого нет, то Яндекс.Браузер может быть установлен с помощью команды: sudo apt install yandex-browser-stable Открыть Яндекс браузер и в поисковой строке ввести: https://hq-srv.hq.work. В полях аутентификации ввести логин: admin; пароль: P@ssw0rd. На странице «Активные пользователи» нажать «+ Добавить». Таблица Имя учётной записи пользователя Имя Фамилия branch_admin Branch admin network_admin Network admin Пароль для этих пользователей: P@ssw0rd. Настройте DNS-сервер на сервере HQ-SRV: a. На DNS сервере необходимо настроить 2 зоны В правом верхнем углу страницы нажать на «»  «Сетевые службы». Снова нажать на «»  «DNS»  «Зоны DNS». Если зон DNS -2, «hq.work» и «100.16.172.in-addr.arpa», то всё хорошо и можно переходить дальше. Если зона одна – «hq.work», то создать обратную ей. Для создания зоны нажать «+Добавить». Для создания обратной зоны выбрать «IP-сеть обратной зоны» ввести сеть HQ, например, 172.16.100.0/26. Таблица – Зоны DNS Прямого просмотра Обратного просмотра Имя зона IP-сеть обратной зоны hq.work 172.16.100.0/26 branch.work 192.168.10.0/28 Выбрать зону hq-work нажать «+Добавить». Добавить записи в соответствии с таблицей. Так как запись hq-srv в зоне hq-work, создана при инициализации домена, то её не добавлять. Таблица – Зона hq.work Имя записи Тип записи IP Address hq-r A 172.16.100.1 hq-srv A 172.16.100.50 Таблица – Зона branch.work Имя записи Тип записи IP Address br-r A 192.168.10.1 br-srv A 192.168.10.14 Таблица – Зона 10.168.192.in-addr-arpa(обратная branch.work) Имя записи Тип записи Hostname 1 PTR br-r Таблица – Зона 100.168.172.in-addr-arpa(обратная hq.work) Имя записи Тип записи Hostname 1 PTR hq-r 50 PTR hq-srv Если обратная зона hq.work была создана системой freeipa при инициализации домена, то не нужно добавлять запись PTR для HQ-SRV. A) Введите машины BR-SRV и CLI в данный домен CLI: установить astra-freeipa-client sudo apt-get update && sudo apt install install fly-admin-freeipa-client -y Открыть окно настройки клиента FreeIPA: Sudo fly-admin-freeipa-client Домен: hopin.sa Логин: admin Пароль: P@ssw0rd Нажать «Подключиться» По завершении успешного подключения в статусе будет сообщение: Обнаружен настроенный клиент в домене hopin.sa BR-SRV: Sudo nano /etc/resolv.conf Nameserver 172.16.100.50 Nameserver 8.8.8.8 Sudo apt install astra-freeipa-client sudo astra-freeipa-client -d hopin.sa «продолжать ? (y\n)» ввести «y», нажать Enter. «Введите пароль администратора домена» - ввести пароль пользователя admin: P@ssw0rd. a. Организуйте отслеживание подключения к домену По умолчанию, во FreeIPA, для уменьшения нагрузки на серверы, отключено отслеживание последней успешной аутентификации пользовательских аккаунтов. Здесь описано, как выключить и вновь включить плагин, отвечающие за эту опцию. BR-SRV и CLI: Попробуем подключиться к созданным пользователям : Аутентификация в качестве пользователя su <имя пользователя> Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно. 1 способ CLI: На странице freeipa-serverа в браузере IPA Server — Configuration — Password plugin features: ☑ KDCisable Last Success - отключить плагин 2 способ HQ-SRV: На каждом сервере FreeIPA смотрим текущие применяемые password-плагины: sudo ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDCisable Last Success Отключаем плагин блокирующий трэкинг последней успешной аутентификации, оставляя прочие плагины включёнными: sudo ipa config-mod --ipaconfigstring='AllowNThash' Если нагрузка на сервер превысила его ресурсы, то вновь отключаем трэкинг последней успешной аутентификации: sudo ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDCisable Last Success' Перезапустите IdM: sudo ipactl restart Посмотреть дата/время последней успешной аутентификации: sudo ipa user-status <имя пользователя>