Запуск FreeIPA в Astra Linux «Смоленск»

Краткое руководство по запуску и первоначальной настройке централизованной системы по управлению идентификацией пользователей FreeIPA на ОС специального назначения Astra Linux Special Edition «Смоленск» на примере версии 1.6.

Подготовка

При установке «Смоленска» необходимо выбрать ядро hardened. Это касается как сервера, так и клиентских машин.

Установка и настройка FreeIPA server

Для начала необходимо установить пакет astra-freeipa-server

# sudo apt install astra-freeipa-server

Затем правим имя хоста. Для этого открываем файл /etc/hostname

# sudo nano /etc/hostname

и впишем имя полное имя хоста:

dc.homenet.local

• dc — это имя машины
• homenet.local — доменное имя

или можно это сделать так:

# hostnamectl set-hostname dc.homenet.local

Затем поправим файл /etc/hosts

# sudo nano /etc/hosts

и впишем в него такие строки:

127.0.0.1	localhost.localdomain localhost
127.0.1.1	dc.homenet.local dc

Также нам необходимо открыть файл /etc/resolv.conf

# sudo nano /etc/resolv.conf

и прописать в нём такие строки:

search homenet.local
nameserver 192.168.1.1

здесь nameserver будет такой же, как и IP-адрес сервера.

Затем устанавливаем контроллер домена homenet.local

# sudo astra-freeipa-server -d homenet.local -n dc ip 192.168.100.1 -o

и идентифицируем администратора

# sudo kinit admin

192.168.100.1 — это IP-адрес сервера на сетевом интерфейсе, который будет использоваться для работы в домене

После этого перезагружаем машину

# sudo shutdown -r

Добавим пару пользователей, которые будут входить в домен. Например, user1 и user2. Вход проверим с клиентских машин.

Для этого в адресной строке введём https://dc.homenet.local — необходимо ввести логин и пароль администратора домена, то есть учётную запись admin

Попадаем в панель управления

Добавим пользователей user1 и user2

и они появятся в списке:

Установка и настройка FreeIPA client на Astra Linux «Смоленск»

На клиентской машине необходимо установить пакет astra-freeipa-client

# sudo apt install astra-freeipa-client

Затем поправим файл /etc/hostname

# sudo nano /etc/hostname

и впишем имя полное имя хоста:

dc-client.homenet.local

• dc-client — имя клиентской машины
• homenet.local — доменное имя

или можно это сделать так:

# sudo hostnamectl set-hostname dc-client.homenet.local

После этого поправим файл /etc/hosts

# sudo nano /etc/hosts

и впишем в него такие строки:

127.0.0.1	localhost
127.0.1.1	dc-client

Также нам необходимо открыть файл /etc/resolv.conf

# sudo nano /etc/resolv.conf

и прописать в нём такие строки:

nameserver 192.168.100.1

192.168.100.1 — это IP-адрес сервера FreeIPA, он также будет использоваться как DNS-сервер

всё остальное, что там есть, стираем.

Далее подключаем машину к контроллеру домена homenet.local

# sudo astra-freeipa-client -d homenet.local

и перезагружаем машину

# shutdown -r

Готово! Теперь вводим пользователя, который был создан на сервере для работы в домене. Это user1 или user2. Если этот пользователь успешно входит в систему, значит всё настроено правильно. Также будет создан каталог в домашней директории /home для этого пользователя.

Настройка клиента на Windows-машине на примере Windows 7

Сначала перейдём на сервер и добавим там пользователя winuser

Затем добавим узел win-client с IP-адресом 192.168.100.3

Далее сгенерируем файл keytab

# ipa-getkeytab -s dc.homenet.local -p host/win-client.homenet.local -e arcfour-hmac -k krb5.keytab.win-client.homenet.local -P

После этого хост клиента будет учтён как зарегистрированный:

Теперь переходим на клиентскую машину с Windows 7 в консоль cmd с правами администратора и последовательно вводим следующие команды:

# ksetup /setdomain HOMENET.LOCAL
# ksetup /addkdc HOMENET.LOCAL dc.homenet.local
# ksetup /setcomputerpassword <password>
# keysetup /mapuser * *

Далее через Управление компьютером добавим пользователя winuser:

и перезагрузим Windows-машину

После перезагрузки входим как winuser@HOMENET.LOCAL и вводим пароль, который был задан ранее:

В свойствах системы можно будет увидеть соответствующие данные машины: