Установка Astra linux freeipa

Обновлено: 25.11.2024

При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этой достаточной власти:

Это необходимо для того, чтобы при входе в новый домен, корневой старый сертификат сертификата не мешал установке нового.

Для Astra Linux Смоленск и РЕД ОС

Использование домена и клиента с текстурой ОС

Доменная и клиентская машины не обязательно должны иметь одинаковую операционную систему для корректировки аутентификации по смарт-картам. Но тем не менее, если версии SSSD – разные, как у Astra Linux (SSSD 16.1.3) и РЕД ОС (SSSD 2.0.0), то на доменной машине должна быть установлена ​​ОС с более новой обыкновенной SSSD.

Ввиду же того, что настройка домена возможна.

Настройка сервера. Создание домена FreeIPA и пользователя

Для настройки атмосферы было два использовано стенда. Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей команды:

После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам необходимо создать нового пользователя, для которого будет настроен доступ к Рутокену.

Для этого требуется вкладка "Идентификация" → "Пользователи" → "Активные пользователи" и добавление нового пользователя. В нашем случае был создан пользователь "user".

Настройка клиента. Подключение к домену

Для пользователей Astra Linux

Если в качестве дружеского общения Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.

После добавления нового пользователя, перейдите к настройке клиента. Настройка была выполнена с помощью следующей команды:

После подключения настройщик должен написать, что обнаружил настроение клиента в домене astradomain.ad.

Попробуем подключиться к созданному пользователем пользователю:

Если после ввода пароля вам удалось аутентифицировать пользователя как пользователя, значит, настройка прошла успешно.

Настройка аутентификации по Рутокену для клиента

Создание сертификата

Для упрощения настроек можно использовать дорожную графическую утилиту по работе с Рутокенами в линукс. Скачаем ее:

При первом запросе программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

После загрузки обновления, программа предлагает выбрать токен, который мы хотим использовать для проверки подлинности. Если нужный рутокен не появился в списке, можно найти вариант для обновления списка устройств:

Далее вводим PIN-код Рутокена:

На рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:

Генерация ключевой пары

Откроем список объектов на Рутокене:

В первую очередь, сгенерируем ключ. Для этого в смотровом стекле выявляются объекты для порождения ключевой пары:

В окне выбора алгоритма ключа необходимо указать "RSA-2048"

Метку ключа можно оставить пустой:

Создание сертификата

После генерации ключевой пары необходимо создать запрос на сертификат. В списке объектов выберем закрытый ключ из пары, для которого требуется создать запрос на сертификат:

В открывшемся окне выберем для создания заявки на сертификат:

Введены данные сертификата. В графе Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентификации:

Далее нас просят выбрать, создать ли самоподписанный или сертификат создать заявку на сертификат Выбираем "Нет":

Возможно путь, куда сохраним заявку на сертификат:

Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:

Создание сертификата

Переходим к серверу, который получил нашу заявку.

Что создадим сертификат по данной заявке для данного пользователя, перейдем к вкладке "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя.

На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окно вставляем нашу заявку.

В поле Идентификатор пользователя необходимо указать caIPAserviceCert

Выданный сертификат можно получить на этой же вкладке, переместившись чуть ниже точки с сертификатами.

Нажмем "Загрузить" и отправим сертификат.

Также естественным образом внедряется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".

Выбираем самый первый сертификат и переходим на вкладку "Действия"→ "Загрузить".

После этого полученный сертификат пользователя и УЦ отправляемого клиента.

Импорт сертификата на Рутокен

Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим PIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

В открывшемся окне выберем исходный импорта сертификата ключа

Возможно путь до сертификата:

При появлении можно услышать метку сертификата:

Финальная настройка на сторону клиента

Теперь, когда на Рутокине встречается ключевая пара и сертификат клиента? можно приступить к финальной настройке. Для этого откроем в меню команды Рутокена выберем пункт Настройки аутентификации в домене FreeIPA.

Нам необходимо получить права суперпользователя, для продажи файлов. Поэтому вводит пароль суперпользователя:

В открывшемся окне можно пройти к корневого сертификата УЦ:

Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем.

Лампочка на Рутокине замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать реализовать повторную аутентификацию через Greeter.

При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделять машинам достаточное количество ресурсов:

  • не менее 2ГБ ОЗУ (при Сборе удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Исходные данные и план действий

Добавляться будет реплика сервера FreeIPA

Для этого будут разрешены действия:

Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition, построен и включен в основном на сервере FreeIPA с использованием открытых открытых ключей DogTag.

Для Astra Linux Special Edition решение о возможности использования службы DogTag должно быть найдено на общей проверке безопасности, см.FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition. Установка сервера-реплики . Если использование DogTag не представляется возможным, следует использовать другие выпуски сертификатов, например, XCA

Подготовка основного сервера

На всякий случай, проверка работоспособности FreeIPA, получение билета Kerberos:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA) командами:

В Astra Linux Special Edition либо установите DogTag по инструкции для Astra Linux Special Edition, либо используйте далее выпуск сертификатов с помощью XCA.

Проверяем, что при настройке DNS в процессе запуска FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

При обнаружении создана реверсивная запись для основного сервера 10.0.2.102:

В случае записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне наблюдения вручную создать реверсивную запись для репликации сервера:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)

Реверсивные записи для серверов репликации можно включать из командной строки, выполняемой на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись A для репликации сервера в прямой зоне домена. Если такой записи не будет, то после ввода серверной репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за места записи A/AAAA. Предупреждение некритичное, все необходимые записи будут созданы автоматически в процессе добавления клиента в домен.

Настройка сервера реплики

В файле /etc/hosts

Установить инструменты для запуска и настройки:

Установить клиент FreeIPA, указав имя домена к которому необходимо подключиться
(команда ipa-replica-install может сама установить клиент FreeIPA, однако рекомендуется установить клиент с использованием инструмента astra-freeipa-client, который автоматически выполняет дополнительные функции):

Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:

Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и передать его на сервер-реплику, после чего можно использовать команду:


Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить билет Kerberos):

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "График топологии"):

Если вы не являетесь профессионалом в области Linux, установка и настройка сервера, особенно безопасности, может оказаться сложной задачей. Следующий документ представляет собой попытку помочь тем, кто не знаком с Linux и хочет попробовать IPA.

Не пропускайте рекомендации по развертыванию!
Если вы развертываете FreeIPA для производства, обязательно сначала прочтите страницу Рекомендации по развертыванию!

Локальная демонстрационная установка с помощью Vagrant+Ansible
Кристиан Хеймс создал сборник сценариев Vagrant+Ansible, который можно использовать для простой настройки мастера FreeIPA с репликой и клиентом на локальном компьютере с помощью одной команды.

Подготовка платформы

Основное предположение заключается в том, что у вас есть компьютер или виртуальная машина с поддерживаемой платформой. В настоящее время мы поддерживаем Fedora и Red Hat Enterprise Linux. Поскольку для FreeIPA требуется множество новых пакетов (серверы LDAP, DNS или PKI и другие), мы рекомендуем сначала опробовать FreeIPA на виртуальной машине, которую затем можно будет легко вывести из эксплуатации после проверки.

Прежде чем можно будет установить FreeIPA, убедитесь, что выполнены предварительные условия FreeIPA, а именно статическое имя хоста или правильное разрешение DNS.

FreeIPA требует абсолютного минимума 1,2 ГБ для установки с CA. Для демонстрационной/тестовой системы рекомендуется 2 ГБ.

Статическое имя хоста

Аутентификация Kerberos основывается на статическом имени хоста. Если имя хоста изменится, аутентификация Kerberos может прерваться. Таким образом, тестовая машина не должна использовать динамически настроенное имя хоста из DHCP, а должно использовать статическое имя, настроенное в /etc/hostname

Правила DNS

Правильно настроенный DNS — это краеугольный камень работающей системы FreeIPA. Без правильно работающей конфигурации DNS Kerberos и SSL не будут работать должным образом или вообще не будут работать.

DNS-домен нельзя изменить после установки. Прежде чем продолжить установку, убедитесь, что вы прочитали и поняли все предостережения.

Установщик IPA довольно требователен к настройке DNS. Установщик выполняет следующие проверки:

  1. Имя хоста не может быть localhost или localhost6.
  2. Имя хоста должно быть полным (server.ipa.test)
  3. Имя хоста должно быть разрешимым.
  4. Обратный адрес, который он разрешает, должен совпадать с именем хоста.

Кэширование DNS
Обычный резолвер сначала просматривает /etc/hosts, а затем DNS. Если запущен nscd, это может добавить интересную особенность, так как он кеширует поисковые запросы. Программа установки IPA не уничтожает nscd до тех пор, пока не начнется процесс установки, поэтому остерегайтесь кэшированных записей, если вы попытаетесь настроить /etc/hosts (в этом случае рекомендуется удалить nscd).

Правило для /etc/hosts состоит в том, что полное имя должно стоять первым. Это должно выглядеть так:

Выберите версию FreeIPA

Важно понимать, какую версию FreeIPA вы планируете установить. Есть два варианта:

  • Стандартная версия FreeIPA, распространяемая вместе с ОС: это самый безопасный вариант, содержащий протестированную версию FreeIPA. Он может просто не содержать последние биты.
  • Репозиторий Bleeding Edge: репозиторий ежедневных сборок из нашего git, содержащий последние версии. Отлично подходит для тестирования будущих функций. Обратите внимание, эта версия не тестировалась и в ней могут быть драконы!
  • Общедоступная демонстрация: самый быстрый способ познакомиться с FreeIPA — посмотреть ее общедоступную демонстрацию!
  • Контейнер Docker: быстрый и простой способ протестировать сервер FreeIPA в изолированном контейнере Docker без необходимости создавать виртуальные машины.

Открыть порты в брандмауэре

Порты, которые использует IPA, должны быть открыты, чтобы удаленные клиенты или дополнительные мастера IPA могли подключаться.

В этом случае первая команда открывает необходимые порты, а вторая сделает изменения постоянными после перезагрузки.

Установка сервера FreeIPA

Когда все ОС будут готовы и выполнены все необходимые условия, давайте попробуем FreeIPA!

Пользователи с правами администратора в FreeIPA

Чтобы иметь возможность выполнять любую административную задачу, вам необходимо пройти аутентификацию на сервере. На этапе настройки вам было предложено создать двух пользователей. Первый Directory Manager — это суперпользователь, которого необходимо использовать для выполнения редких низкоуровневых задач. Для обычной административной деятельности была создана административная учетная запись admin.

Для аутентификации в качестве администратора просто запустите:

Вам будет предложено ввести пароль. Используйте пароль, который вы указали на этапе настройки для пользователя admin. В результате этой операции вы получаете билет Kerberos (подробнее).

Справочная система FreeIPA

Вы можете использовать билет, полученный в результате описанной выше операции, для выполнения различных административных задач. Первая задача, которую мы сделаем, это добавим пользователя через командную строку. Для этого мы сначала проверим интерфейс командной строки, прочитав справочные страницы команды ipa:

Одной из основных особенностей IPA является его расширяемость и подключаемость. Это означает, что новые функции могут быть добавлены позже поверх существующего, уже работающего сервера. Это также означает, что справочная система, т. е. справочные страницы, должна быть подключаемой и расширяемой. Чтобы выполнить это требование, ipa помимо справочных страниц имеет справочную систему, которая позволяет добавлять информацию. Чтобы получить дополнительную информацию, запустите:

  • $ темы справки ipa, чтобы получить список тем справки
  • $ ipa help для печати справки по выбранной теме
  • $ ipa help для подробного изучения команды или темы

Добавление первого пользователя

Запустите ipa help user, чтобы просмотреть справку по операциям пользователя. Имейте в виду, что управление паролями — это отдельный шаг и операция, поэтому после создания пользователя пароль для него должен быть установлен с помощью команды ipa passwd, иначе вновь созданный пользователь не сможет пройти аутентификацию.< /p>

Чтобы создать пользовательский прогон

команда с дополнительными параметрами или без них. Если вы пропустите какой-либо из обязательных параметров или все из них, интерфейс запросит у вас информацию.

После добавления пользователя добавьте для него пароль:

При этом будет создан пароль, но он будет временным. Тот, который вам нужно изменить при первой аутентификации. Это сделано специально, чтобы администратор мог сбросить пароль для пользователя, но не смог бы воспользоваться этим знанием, поскольку пользователю пришлось бы сменить пароль при первом входе в систему.

Теперь вы можете аутентифицироваться как новый пользователь с

команда. Вам будет предложено ввести пароль и немедленно запросить смену пароля.

Пользовательский веб-интерфейс

Следующий шаг – попробовать веб-интерфейс. Убедитесь, что ваш административный билет действителен, запустив

команда. Запустите Firefox в том же командном окне. Он запустит экземпляр firefox. В адресной строке введите имя сервера FreeIPA (например, server.ipa.test).

В качестве первого шага сервер FreeIPA через браузер попросит вас принять сертификат для безопасной связи SSL между вашим клиентом (браузером) и сервером (ipa). Следуйте инструкциям и примите исключение. Убедитесь, что импортированный сертификат исходит от сервера FreeIPA, а не от злоумышленника!

Когда сертификат принят, веб-интерфейс, скорее всего, обнаружит, что у него нет доступных учетных данных Kerberos, и отобразит экран входа пользователь и пароль. Чтобы правильно настроить браузер, вы можете перейти по ссылке на экране входа в систему, чтобы запустить инструмент настройки.

Все мероприятие проводится c администратором с правами root (sudo)!

Настройки после установки штатной ОС Astra Linux "Орёл":

Комплекты пакетов FreeIPA для сервера и клиенты входят в стандартный репозиторий ОС Astra Linux "Орёл". Устанавливаем сервер и клиент FreeIPA.

Наличие стойкости при установке, "ОК".

После установки в случае применения один сервер DNS 192.168.1.110

После чего необходимо выключить, а затем включить поддержку сети (сделать перезагрузку).

Запуск сервера FreeIPA.

Для настройки с помощью графического инструмента выполняют:

После запуска на дисплее отображаемой формы для ввода данных, в которой необходимо указать исходные данные.

После чего предупреждение и неизбежно возникает согласие с условиями.

Начнется настройка сервера FreeIPA. По окончанию сборки вы увидите следующее.

Домен FreeIPA настроения.

Если у вас не получается и выдает ошибку в самом начале конфигурирования домена, то скорее всего домен с таким именем уже используется!

Проверим работу DNS-сервера, для этого в терминале выполним последовательно три команды:

Читайте также: