понедельник, 16 апреля 2018 г.

RHCSA Lab / Identity management

Нужно установить всего лишь пару пакетов...
В темах RHCSA фигурирует настройка аутентификации через LDAP, настройка NTP и так называемый Kerberized NFS. С последним я пока не очень познакомился, будем разбираться по ходу. Экзамен подразумевает выполнение довольно простых операций, но хочется копнуть чуть глубже. Надеюсь, что это хоть немного похоже на Radius или Tacacs. )

Для того, чтобы настроить LDAP аутентификацию через LDAP сервер, нужен сам LDAP сервер. Я выбрал пакет FreeIPA. Установка подкупает своей простотой. Буквально за 10 минут можно получить  работающий LDAP, Kerberos, DNS, NTP и Apache в придачу.

Короче, ближе к делу.

FreeIPA


Ставим три пакета
ipa-server ipa-server-dns bind-dyndb-ldap

Запускаем визард настройки командой
ipa-server-install --setup-dns

Далее нам предстоит ответить на ряд вопросов. В моем случае практически  вся установка заключалась в периодическом нажатии на пробел. 



В итоге будет сконфигурирован DNS сервер (bind), который хостит зону rhcsalab.hi. Один форвардер на на другой DNS сервер и несколько A/AAAA записей. Также будет добавлена обратная зона для 192.168.122./24. Не стоит забывать про NTP, Kerberos и LDAP, который мы сконфигурируем чуть. Позже.



Начинаем установку. Можно смело сходить за кофе или поиграть с ребенком, что я, например, и сделал.


Далее нам предлагается открыть порты на файерволе и скопировать сертификат. Открываем пачку портов на файерволе. Сделал я это хитрым (для меня) циклом. Кстати, как видно я "по-цискарски" открываю все в текущей конфигурации и только потом записываю изменения в перманентную. Не знаю, на сколько такой подход корректен, но мне он как-то ближе. Обычно делают наоборот, добавляют все изменения с ключом --permanent, а потом рестартуют процесс. Получается, что в таком случае даже ребут машины не поможет восстановить с ней связь.


vsFTP

Для распространения сертификата я подниму vsFTP сервер (Very Secure FTP). Сама установка ничего сложного не представляет. После установки запускаем сервер и сразу же "добавляем его в автозагрузку". Тут я применил грязных хак. Включил и добавил а автозагрузку одной командой. На сколько я знаю, такая конструкция доступна только начиная с 7.1. Добавляем FTP порт на файерволе и проверяем. Далее копируем сертификат в дефолтную директорию FTP.


Пользователи LDAP


Теперь добавляем пользователей в LDAP. Синтаксис довольно прост.



Я добавил веселую четверку из поста про права в Linux.


Проверка


Итак, проверяем DNS. Как видно, мы являемся NS сервером для rhcsalab.hi. Также видно две А записи и одну AAAA.



Проверяем LDAP локально простым su в нужного пользователя. Перед этим я поискал локального пользователя на всякий случай. Ну и заметьте высокие значения UID и GID.



Проверяем NTP. Запущен процесс ntd, который слушает на всех интерфейсах. Этотвидно в логах systemd, например.




Ну и напоследок проверяем доступность сертификата на FTP.


В итоге

Что касается плана, FreeIPA позволила вычеркнуть сразу несколько пунктов.
    4. Configuring LDAP Server (with DNS)
    12. Configuring FTP Server
    13. Configuring NTP Server

Комментариев нет:

Отправить комментарий