 |
| Нужно установить всего лишь пару пакетов... |
В темах RHCSA фигурирует настройка аутентификации через LDAP, настройка
NTP и так называемый Kerberized NFS. С последним я пока не очень
познакомился, будем разбираться по ходу. Экзамен подразумевает
выполнение довольно простых операций, но хочется копнуть чуть глубже.
Надеюсь, что это хоть немного похоже на Radius или Tacacs. )
Для того, чтобы настроить LDAP аутентификацию через LDAP сервер, нужен сам LDAP сервер. Я выбрал пакет FreeIPA. Установка подкупает своей простотой. Буквально за 10 минут можно получить работающий LDAP, Kerberos, DNS, NTP и Apache в придачу.
Короче, ближе к делу.
Ставим три пакета
ipa-server ipa-server-dns bind-dyndb-ldap
Запускаем визард настройки командой
ipa-server-install --setup-dns
Далее нам предстоит ответить на ряд вопросов. В моем случае практически вся установка заключалась в периодическом нажатии на пробел.
В итоге будет сконфигурирован DNS сервер (bind), который хостит зону rhcsalab.hi. Один форвардер на на другой DNS сервер и несколько A/AAAA записей. Также будет добавлена обратная зона для 192.168.122./24. Не стоит забывать про NTP, Kerberos и LDAP, который мы сконфигурируем чуть. Позже.
Начинаем установку. Можно смело сходить за кофе или поиграть с ребенком, что я, например, и сделал.
Далее нам предлагается открыть порты на файерволе и скопировать сертификат. Открываем пачку портов на файерволе. Сделал я это хитрым (для меня) циклом. Кстати, как видно я "по-цискарски" открываю все в текущей конфигурации и только потом записываю изменения в перманентную. Не знаю, на сколько такой подход корректен, но мне он как-то ближе. Обычно делают наоборот, добавляют все изменения с ключом --permanent, а потом рестартуют процесс. Получается, что в таком случае даже ребут машины не поможет восстановить с ней связь.
Теперь добавляем пользователей в LDAP. Синтаксис довольно прост.
Я добавил веселую четверку из поста про права в Linux.
Итак, проверяем DNS. Как видно, мы являемся NS сервером для rhcsalab.hi. Также видно две А записи и одну AAAA.
Проверяем LDAP локально простым su в нужного пользователя. Перед этим я поискал локального пользователя на всякий случай. Ну и заметьте высокие значения UID и GID.
Проверяем NTP. Запущен процесс ntd, который слушает на всех интерфейсах. Этотвидно в логах systemd, например.
Ну и напоследок проверяем доступность сертификата на FTP.
4. Configuring LDAP Server (with DNS)
12. Configuring FTP Server
13. Configuring NTP Server
Короче, ближе к делу.
FreeIPA
Ставим три пакета
ipa-server ipa-server-dns bind-dyndb-ldap
Запускаем визард настройки командой
ipa-server-install --setup-dns
Далее нам предстоит ответить на ряд вопросов. В моем случае практически вся установка заключалась в периодическом нажатии на пробел.
В итоге будет сконфигурирован DNS сервер (bind), который хостит зону rhcsalab.hi. Один форвардер на на другой DNS сервер и несколько A/AAAA записей. Также будет добавлена обратная зона для 192.168.122./24. Не стоит забывать про NTP, Kerberos и LDAP, который мы сконфигурируем чуть. Позже.
Начинаем установку. Можно смело сходить за кофе или поиграть с ребенком, что я, например, и сделал.
Далее нам предлагается открыть порты на файерволе и скопировать сертификат. Открываем пачку портов на файерволе. Сделал я это хитрым (для меня) циклом. Кстати, как видно я "по-цискарски" открываю все в текущей конфигурации и только потом записываю изменения в перманентную. Не знаю, на сколько такой подход корректен, но мне он как-то ближе. Обычно делают наоборот, добавляют все изменения с ключом --permanent, а потом рестартуют процесс. Получается, что в таком случае даже ребут машины не поможет восстановить с ней связь.
vsFTP
Для распространения сертификата я подниму vsFTP сервер (Very Secure FTP). Сама установка ничего сложного не представляет. После установки запускаем сервер и сразу же "добавляем его в автозагрузку". Тут я применил грязных хак. Включил и добавил а автозагрузку одной командой. На сколько я знаю, такая конструкция доступна только начиная с 7.1. Добавляем FTP порт на файерволе и проверяем. Далее копируем сертификат в дефолтную директорию FTP.
Пользователи LDAP
Теперь добавляем пользователей в LDAP. Синтаксис довольно прост.
Я добавил веселую четверку из поста про права в Linux.
Проверка
Итак, проверяем DNS. Как видно, мы являемся NS сервером для rhcsalab.hi. Также видно две А записи и одну AAAA.
Проверяем LDAP локально простым su в нужного пользователя. Перед этим я поискал локального пользователя на всякий случай. Ну и заметьте высокие значения UID и GID.
Проверяем NTP. Запущен процесс ntd, который слушает на всех интерфейсах. Этотвидно в логах systemd, например.
Ну и напоследок проверяем доступность сертификата на FTP.
В итоге
Что касается плана, FreeIPA позволила вычеркнуть сразу несколько пунктов.4. Configuring LDAP Server (with DNS)
12. Configuring FTP Server
13. Configuring NTP Server
Комментариев нет:
Отправить комментарий