Настройка домена Centos 7
Обновлено: 21.11.2024
При установке и настройке сервера CentOS 7 с Docker для запуска Avast Business On-Premise Console мы рекомендуем следующие параметры:
Настройка удаленного доступа и управления
Внесите следующие изменения в sshd_config :
Кроме того, вам потребуется настроить модуль PAM, чтобы ограничить доступ к команде "su", которая позволяет пользователям переключаться на root:
Вам потребуется запустить демон ssh и включить его автоматический запуск при запуске системы. Для этого введите следующие команды:
Наконец, вам нужно будет отключить менее безопасные типы удаленного подключения. Их не следует устанавливать, но эти команды проверят это. Если они не установлены, вы получите сообщение об ошибке «Не удалось выполнить операцию».
Установив ssh, можно использовать утилиту ssh для передачи файлов между вашим личным рабочим столом и сервером CentOS. Для этого потребуется использовать оболочку bash в Windows 10. Это удобный способ передачи файлов на сервер и с него с помощью команды scp.
Интеграция с Active Directory
Возможно, вы захотите использовать учетные данные Active Directory для входа на сервер CentOS 7. Прежде чем вы сможете присоединиться к домену, вам потребуется следующее:
- Учетные данные администратора домена для домена Active Directory, к которому вы хотите присоединиться
- IP-адрес DNS-сервера домена Active Directory, к которому вы присоединяетесь.
- Домены поиска, к которым вам может понадобиться доступ, включая домен, который вы добавляете, и любые другие домены поиска, которые уже существуют в вашем офисе.
- IP-подсеть, в которой находится ваша машина. Это должно быть примерно следующее: 10.160.22.128/25, где число после косой черты – маска вашей подсети.
После того, как вы получите эту информацию, вам нужно будет настроить подключение к сети Ethernet, чтобы добавить DNS-серверы, к которым вы уже обращаетесь, и DNS для домена, к которому вы собираетесь присоединиться.
Настройка Ethernet-соединения
Затем вам потребуется установить ряд пакетов, необходимых для присоединения к домену Active Directory.
Установка пакетов, необходимых для присоединения к домену Active Directory
Теперь вы сможете присоединиться к своему домену, используя следующие команды:
После успешного присоединения к домену вам потребуется настроить доступ пользователей домена. Во-первых, для простоты использования вам нужно настроить имена входа в домен так, чтобы для них не требовалось полное доменное имя.
После успешного присоединения к домену вам потребуется настроить доступ пользователей домена. Во-первых, для простоты использования вам нужно настроить имена входа в домен так, чтобы для них не требовалось полное доменное имя.
Далее вы захотите ограничить, какие группы пользователей Active Directory имеют доступ для входа на ваш сервер. Мы рекомендуем ограничить это администраторами домена или другой группой, которой вы хотите предоставить административные права.
После того, как вышеперечисленное будет выполнено, вы сможете перезагрузить сервер и подключиться, используя учетные данные домена, а также переключиться на root без повторного запроса пароля после входа в систему.
Безопасный FTP
Чтобы облегчить передачу файлов в ОС Linux и из нее, мы рекомендуем вам установить службу протокола передачи файлов. Важно помнить, что стандартный ftp передает всю информацию без шифрования или аутентификации, поэтому в этом руководстве вы узнаете, как настроить безопасный ftp-сервер, который использует как шифрование, так и аутентификацию пользователя.
В этом руководстве используются возможности встроенного sftp-сервера OpenSSH, специально настроенные таким образом, чтобы только пользователи, которых вы добавляете в sftp-группу, могли получить доступ к вашему sftp-серверу. Также имейте в виду, что ограничение на количество одновременных сеансов ssh также распространяется на количество сеансов sftp.
Для подключения к sftp-серверу мы рекомендуем загрузить на рабочую станцию утилиту, например Filezilla. Кроме того, при использовании sftp обязательно вводите адрес сервера в формате «sftp://serverNameOrlP». Кроме того, помните, к какому порту вы добавили свой sftp-сервер, так как вам также потребуется ввести его. Это руководство использует порт 22220.
Чтобы установить безопасную службу ftp с надлежащим контролем доступа пользователей, нам сначала нужно создать и настроить второй экземпляр службы SSH, которую мы настроили ранее. Для этого используйте следующие команды:
Затем сделайте следующее:
После настройки sftp-сервера вам по-прежнему необходимо предоставить доступ для каждого пользователя, которому вы хотите предоставить возможность входа в систему. Для каждого пользователя, которому вы хотите предоставить доступ sftp, выполните следующие команды:
Почему такой заголовок? Потому что он предназначен в основном для администраторов и инженеров Windows, которые плохо знакомы с управлением идентификацией в среде Linux.
FreeIPA — это контроллер домена для машин Linux/Unix, он определяет домен, используя контроллеры домена и зарегистрированных клиентов, это что-то вроде Active Directory в мире Microsoft.
Я не буду вдаваться в технические подробности о FreeIPA, вы можете найти их в Интернете.
Системные требования:
Там указано 2 ГБ ОЗУ, но лучше всего работает 4 ГБ.
10 ГБ дискового пространства как минимальное требование.
Чистая установка CentOS 8/RHEL без других служб.
Порты 443 и 80 должны быть свободны на компьютере.
Вашему компьютеру необходимо определить полное доменное имя перед запуском.
Предпосылки:
Вам нужно будет указать имя хоста и часовой пояс на вашем компьютере, на котором будет установлена установка FreeIPA.
Вот учебные пособия по времени / NTP для Centos / Red Hat
Установка:
Сначала разберемся с SELinux, так как с установкой могут возникнуть проблемы.
Далее мы проверим доступные модули в репозиториях RHEL Appstream
Как видно из скриншота, DL1 — это серверный модуль, а клиент — ну, клиент.
Мы также можем получить дополнительную информацию о пакете DL1, выполнив следующую команду:
Теперь мы сначала установим DL1, а затем сервер FreeIPA.
Есть два варианта установки FreeIPA: просто установить FreeIPA или установить FreeIPA с DNS.
Если вы собираетесь установить только FreeIPA, используйте следующую команду
Если вы выбрали FreeIPA с DNS, выполните следующую команду:
Вам также потребуется привязка, поэтому команды включены выше. Я буду использовать команду с DNS в качестве опции.
Этап установки завершен.
Конфигурация:
Во-первых, нам нужно указать действительное имя хоста для нашего хоста FreeIPA.
Я уже дал своей машине действительное имя хоста, и я могу пропинговать ее.
Если у вас нет DNS, вы можете изменить файл /etc/hosts, включив в него IP-адрес и имя хоста FreeIPA.
(измените 10.20.10.7 и dc.test.local на IP и имя, которые вам подходят)
Снова два варианта: просто настроить FreeIPA или настроить FreeIPA и DNS
И второй вариант с настройкой DNS:
Я буду использовать настройку FreeIPA + DNS
Моя установка будет включать следующие шаги
* Настройте автономный ЦС (жетон) для управления сертификатами
* Настройка клиента NTP (chronyd)
* Создание и настройка экземпляра сервера каталогов
* Создание и настройка центра распространения ключей Kerberos (KDC)
* Настройка DNS (привязка)
* Настройте KDC для включения PKINIT
Имя моего сервера FreeIPA — DC, а домен — test.local
Введите имя вашего компьютера и домен и нажмите Enter
Далее мне нужно подтвердить доменное имя — в моем случае test.local
Имя области в моем случае будет таким же, только в верхнем регистре
Далее мы определим пароль диспетчера каталогов. Как всегда — убедитесь, что вы надежно храните пароли и используете надежные пароли (я буду использовать слабые для лабораторной работы). Вас также попросят повторить пароль.
Следующий шаг — административный пользователь FreeIPA с именем admin. Мы определим для него пароль. Я пропустил его в первый раз 😊
Первый вопрос: нужны ли вам серверы пересылки DNS, я их настрою, вы можете ввести no и пропустить, если они вам не нужны
Я уже ввел 8.8.8.8 в свой DNS, поэтому я просто подтвержу его как DNS, нажав yes
Я не буду вводить второй сервер пересылки DNS, поэтому просто нажму Enter
Я также подтвержу да, поиск недостающих обратных зон
После этого вам будет предложено подтвердить обратные зоны и ввести имена (можно использовать имена, предложенные в ответах)
Вам также будет предложено настроить NTP-сервер, я выбрал нет, потому что я уже настроил хрони до этой настройки. Сервер NTP чрезвычайно важен, поэтому обязательно настройте его.
Затем вам будет представлена ваша конфигурация, моя конфигурация в порядке, поэтому я подтвержу свою конфигурацию, нажав да
Через несколько минут отобразится сводка, успешная установка должна выглядеть так, как показано на рисунке ниже.
Ну, как было рекомендовано на последних этапах настройки, мы должны открыть несколько портов в нашем брандмауэре.
(двойной минус перед добавлением и навсегда)
У меня уже настроен NTP, поэтому он отображается как предупреждение.
Перезагрузить службу брандмауэра
(двойные минусы перед перезагрузкой)
Теперь, наконец, давайте откроем браузер на сервере FreeIPA и напечатаем
Вы уже установили пароль для администратора пользователя IPA во время установки, поэтому введите пользователя и пароль и войдите в систему
Когда вы управляете веб-хостом, на начальном этапе вы должны сделать несколько вещей. Такие вещи, как установка имени хоста сервера, часовых поясов и других параметров, должны быть выполнены изначально, чтобы сервер работал правильно.
Это краткое руководство покажет вам, как настроить имя хоста CentOS 7, а также полное доменное имя для вашего сервера. Если вы считаете, что текущее имя хоста, присвоенное вашему серверу, не соответствует домену должным образом, изучите ниже инструкции по его изменению.
Еще один момент – установить полное доменное имя (FQDN).
Задавать полное имя сервера не обязательно, но это удобно, особенно в средах, где разрешен общий доступ к файлам, а компьютер, на котором размещается файл, является сервером. Опять же, вам не обязательно это делать, но настроить можно.
В файле имени хоста большинства серверов CentOS есть строка, представляющая имя хоста системы. Обычно он начинается с IP-адреса сервера, полного доменного имени и короткого имени сервера.
Чтобы просмотреть текущую настройку, выполните приведенные ниже команды в консоли терминала.
Если сервер не был настроен и находится в исходном виде, в качестве имени сервера будет отображаться localhost, а в качестве полного имени — localhost.localdoman.
Чтобы изменить имя хоста в CentOS 7, выполните приведенные ниже команды, чтобы отредактировать файл hosts. Затем добавьте новую строку с IP-адресом сервера, полным доменным именем и коротким именем сервера.
sudo vi /etc/hosts
Затем добавьте строку ниже с IP-адресом сервера, полным доменным именем и коротким именем сервера.
Вот как должна выглядеть линия. Вы можете добавить новую строку под последней строкой в файле и сохранить ее. Когда файл будет сохранен, запустите приведенные ниже команды, чтобы обновить и применить изменения.
Вам не нужно перезагружать компьютер, чтобы изменения вступили в силу. Все, что вам нужно сделать, это выполнить приведенные ниже команды.
systemctl перезапустить systemd-hostname
После выполнения приведенных выше команд отправьте эхо-запрос на текущее имя хоста, чтобы увидеть, как он отвечает на добавленный IP-адрес.
Он покажет полное доменное имя.
Одна вещь, о которой следует помнить, — не удалять ни одной строки в файле. Просто добавьте новую строку для сервера в конце последней строки и сохраните файл. Это руководство также может применяться к другой версии CentOS, а также к другим версиям дистрибутивов Linux.
Как установить полное имя хоста в CentOS 7.0?
Я видел несколько сообщений в Интернете, например, с использованием:
Однако запуск доменного имени ничего не возвращает:
Некоторые отладочные данные:
4 ответа 4
Чтобы установить имя хоста do, используйте hostnamectl , но только с именем хоста, например:
Чтобы установить доменное имя (DNS), отредактируйте файл /etc/hosts и убедитесь, что:
- Есть очередь. там
- НЕТ других строк с , включая строки с адресами 127.0.0.1 и ::1 (IPv6).
Обратите внимание, что если вы не используете NIS, (нет) является правильным выводом при выполнении команды domainname.
Чтобы проверить, правильно ли установлено ваше доменное имя DNS, используйте команду dnsdomainname и проверьте вывод имени хоста и имени хоста -f (FQDN).
NIS и домен DNS
Эта проблема смутила меня, когда я впервые столкнулся с ней. Кажется, что команда domainname появилась раньше, чем Интернет. Вместо имени домена DNS он показывает или устанавливает системное имя домена NIS (Сетевая информационная служба), также известное как YP (Желтые страницы) (группа компьютеров, услуги которых предоставляются главным сервером NIS). Эта команда просто отображает имя, возвращенное стандартной библиотечной функцией getdomainname(2). ( nisdomainname и ypdomainname являются альтернативными именами для этой команды.)
Отображать полное доменное имя или DNS-имя домена
Чтобы проверить доменное имя DNS (Интернет), следует запустить команду dnsdomainname или имя хоста с параметрами -d, --domain. (Обратите внимание, что команду dnsdomainname нельзя использовать для установки доменного имени DNS — она используется только для его отображения.)
Чтобы отобразить полное доменное имя (полное доменное имя) системы, запустите hostname с параметрами -f, --fqdn, --long (аналогично, эту команду нельзя использовать для установки части имени домена).
Приведенные выше команды используют преобразователь системы (реализованный функцией gethostbyname(3) из стандартной библиотеки, как указано в POSIX) для определения доменного имени DNS и полного доменного имени.
Разрешение имени
В современных операционных системах, таких как RHEL 7, запись hosts в файле /etc/nsswitch.conf используется для разрешения имен хостов. На вашем компьютере с CentOS 7 эта строка настроена как (по умолчанию для CentOS 7):
Это означает, что когда функции распознавателя ищут имена хостов или IP-адреса, они сначала проверяют наличие записи в файле /etc/hosts, а затем пытаются использовать DNS-серверы. которые перечислены в /etc/resolv.conf .
При запуске hostname -f для получения полного доменного имени узла функции преобразователя пытаются получить полное доменное имя для имени узла системы. Если хост не указан ни в файле /etc/hosts, ни на соответствующем DNS-сервере, попытка завершится неудачно, и имя хоста сообщит, что имя или служба неизвестны.
Когда hostname -d запускается для получения доменного имени, выполняются те же операции, и часть доменного имени определяется путем удаления части имени хоста и первой точки из полного доменного имени.
Настройте доменное имя
Обновите соответствующий сервер имен DNS
В моем случае я уже добавил запись для моего нового компьютера с CentOS 7 на DNS-сервере для моей локальной сети, поэтому, когда полное доменное имя не было найдено в файле /etc/hosts, когда я запускал имя хоста с параметром -d или -f, локальные службы DNS смогли полностью разрешить полное доменное имя для моего нового имени хоста.
Читайте также: