ввод PC в домен freeipa (Astra)

Для начала необходимо произвести базовые настройки - установить на машине hostname, проверить связность с сервером freeipa. Предполагается, что машина не была введена в другой домен. Также необходимо синхронизировать время на машине со временем на сервере freeipa. Также на машине должен быть настроен dns, который разрешает доменные имена вашего доменконтроллера - либо это должен быть сам сервер с freeipa, либо dns, который пересылает на него запросы. В качестве костыля можно прописать имена сервера freeipa в файле /etc/hosts - однако данный способ является костылём, правильнее использовать определение имён по dns. Далее нам необходимо установить пакеты, в случае если машина c GUI мы можем установить пакет для графической установки:

sudo apt install fly-admin-freeipa-client

для машин без графики достаточно установить один пакет:

sudo apt install astra-freeipa-client

После установки графический инструмент fly-admin-freeipa-client доступен для запуска из командной строки или через систему меню: “Пуск” - “Панель управления” - Сеть" - “Настройка FreeIPA клиент Fly” image alt text image alt text Нажав кнопку подключиться утилита подключит наш PC в домен, если всё хорошо, в противном случае выплюнет ошибку. Так же ввод в домен можно осуществить с помощью консольной утилиты:

sudo astra-freeipa-client

При необходимости можно указать конкретный домен:

sudo astra-freeipa-client -d ipadomain.ru

При этом можно указать дополнительные опции:

  • -p для ввода пароля (небезопасно);
  • -y для автоматического ответа “да” на все вопросы; После ввода машины в домен её необходимо перезапустить
    Внимание
    Обратите внимание на содержимое вашего файла /etc/hosts - если у вас там прописаны лишние хосты, например localhost, то установка может заканчиваться неудачно и ругаться на них, в таком случае оставьте там только вашу машину с полным именем, например так: 127.0.0.1 database.corp.corp.ru
    Так же следует заметить, что контроллеру домена наобходимо знать об изменения ip адресации вашей машины, поэтому вы либо должны решить этот вопрос с помощью dhcp сервера (например зарезервировать ip адреса, или обновить зону), либо настроить обновление через службу kerberos:

Для включения обновления в файл конфигурации службы SSSD /etc/sssd/sssd.conf в секцию с параметрами домена FreeIPA следует добавить опции:

[domain/...]
.....
# Включить обновление прямых записей (A/AAAA записей)
dyndns_update = true
# Включить обновление обратных записей (PTR записей)
dyndns_update_ptr = true
# Интервал обновления в секундах. По умолчанию - 0, и обновление выполняется только один раз при запуске службы SSSD.
# Если интервал менее 60 секунд, то обновление выполняется раз в 60 секунд.
# Если адрес после предыдущего обновления не изменялся - обновление не выполняется.
dyndns_refresh_interval = 60

также при установки клиента можно было бы указать опцию, которая сама добавила бы обновление A записи:

sudo astra-freeipa-client -d somedom.example.com --par --enable-dns-updates

Более полную документацию можно посмотреть на wiki astra