Настройка сервера домена

[GoldNuts]

HQ-SRV:
«кд freeipa astra linux» wiki.astralinux.ru
Установить: sudo apt install astra-freeipa-server –y Может быть требовать вставить диск: Устройства  Оптические диски  «alce-current.iso». Нажать Enter. В окнах псевдографики нажать «ОК» с помощью Enter.
Запустить быструю инициализацию:
sudo astra-freeipa-server -d hq.work -n hq-srv -px -ip 172.16.100.50 -o s(установить samba для 4 задания) -y
На сообщение «продолжать? (y\n)» Для подтверждения введите «y» и нажмите Enter.
Будет сообщение о создании пароля для admin, сначала один раз потом подтвердить его надо будет. Я ввёл дефолтный пароль P@ssw0rd. Эти данные понадобятся для авторизации на сайте freeipa. В слуачае удачного завершения будет выдана ссылка, по которой нужно перейти в браузере
WEB: https://hq-srv.hopin.sa
В случае если при инициализации домена возникнет ошибка:
sudo krb5_newrealm. При выполнении команды нужно будет ввести и подтвердить пароль администратора, после чего будут автоматически созданы нужные базы данных.
Перезапустить kerberous: sudo systemctl restart krb5-kdc.service
И снова попробовать инициализировать сервер домена.
CLI:
Понадобится браузер. Если никакого нет, то Яндекс.Браузер может быть установлен с помощью команды: sudo apt install yandex-browser-stable
Открыть Яндекс браузер и в поисковой строке ввести: https://hq-srv.hq.work.
В полях аутентификации ввести логин: admin; пароль: P@ssw0rd.
На странице «Активные пользователи» нажать «+ Добавить».

Таблица
Имя учётной записи пользователя Имя Фамилия
branch_admin Branch admin
network_admin Network admin
Пароль для этих пользователей: P@ssw0rd.
Настройте DNS-сервер на сервере HQ-SRV: a. На DNS сервере необходимо настроить 2 зоны
В правом верхнем углу страницы нажать на «»  «Сетевые службы». Снова нажать на «»  «DNS»  «Зоны DNS». Если зон DNS -2, «hq.work» и «100.16.172.in-addr.arpa», то всё хорошо и можно переходить дальше. Если зона одна – «hq.work», то создать обратную ей. Для создания зоны нажать «+Добавить». Для создания обратной зоны выбрать «IP-сеть обратной зоны» ввести сеть HQ, например, 172.16.100.0/26.

Таблица – Зоны DNS
Прямого просмотра Обратного просмотра
Имя зона IP-сеть обратной зоны
hq.work 172.16.100.0/26
branch.work 192.168.10.0/28

Выбрать зону hq-work нажать «+Добавить». Добавить записи в соответствии с таблицей. Так как запись hq-srv в зоне hq-work, создана при инициализации домена, то её не добавлять.

Таблица – Зона hq.work
Имя записи Тип записи IP Address
hq-r A 172.16.100.1
hq-srv A 172.16.100.50

Таблица – Зона branch.work
Имя записи Тип записи IP Address
br-r A 192.168.10.1
br-srv A 192.168.10.14

Таблица – Зона 10.168.192.in-addr-arpa(обратная branch.work)
Имя записи Тип записи Hostname
1 PTR br-r

Таблица – Зона 100.168.172.in-addr-arpa(обратная hq.work)
Имя записи Тип записи Hostname
1 PTR hq-r
50 PTR hq-srv
Если обратная зона hq.work была создана системой freeipa при инициализации домена, то не нужно добавлять запись PTR для HQ-SRV.
A) Введите машины BR-SRV и CLI в данный домен
CLI: установить astra-freeipa-client
sudo apt-get update && sudo apt install install fly-admin-freeipa-client -y
Открыть окно настройки клиента FreeIPA: Sudo fly-admin-freeipa-client
Домен: hopin.sa
Логин: admin
Пароль: P@ssw0rd
Нажать «Подключиться»
По завершении успешного подключения в статусе будет сообщение:
Обнаружен настроенный клиент в домене hopin.sa
BR-SRV:
Sudo nano /etc/resolv.conf
Nameserver 172.16.100.50
Nameserver 8.8.8.8
Sudo apt install astra-freeipa-client
sudo astra-freeipa-client -d hopin.sa «продолжать ? (y\n)» ввести «y», нажать Enter. «Введите пароль администратора домена» - ввести пароль пользователя admin: P@ssw0rd.
a. Организуйте отслеживание подключения к домену
По умолчанию, во FreeIPA, для уменьшения нагрузки на серверы, отключено
отслеживание последней успешной аутентификации пользовательских аккаунтов. Здесь описано, как выключить и вновь включить плагин, отвечающие за эту опцию.
BR-SRV и CLI:
Попробуем подключиться к созданным пользователям :
Аутентификация в качестве пользователя
su <имя пользователя>
Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.
1 способ CLI:
На странице freeipa-serverа в браузере
IPA Server — Configuration — Password plugin features:
☑ KDCisable Last Success - отключить плагин
2 способ HQ-SRV:
На каждом сервере FreeIPA смотрим текущие применяемые password-плагины:
sudo ipa config-show | grep "Password plugin features"
Password plugin features: AllowNThash, KDCisable Last Success
Отключаем плагин блокирующий трэкинг последней успешной аутентификации, оставляя прочие плагины включёнными:
sudo ipa config-mod --ipaconfigstring='AllowNThash'
Если нагрузка на сервер превысила его ресурсы, то вновь отключаем трэкинг последней успешной аутентификации:
sudo ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDCisable Last Success'
Перезапустите IdM:
sudo ipactl restart
Посмотреть дата/время последней успешной аутентификации:
sudo ipa user-status <имя пользователя>