Ввод клиентских машин в домен IPA

Подготовка к развертыванию
Синхронизация времени
Назначение клиенту доменного имени
Отключение DNS-службы systemd-resolved
Настройка сетевого адаптера
Установка необходимых пакетов
Настройка клиента и автоматический ввод в домен
Интерактивная настройка клиента
Автоматическая настройка клиента
Ввод клиента в домен с помощью утилиты join-to-domain

Окружение

• Версия ОС: 8
• Конфигурация ОС: Рабочая станция, Сервер графический, Сервер минимальный
• Редакция ОС: Стандартная
• Архитектура: x86_64
• Версия ПО: ipa-client-4.10.3-7

Подготовка к развертыванию

Синхронизация времени

Для настройки синхронизации времени выполните настройку службы chrony. Подробную информацию см. в нашей статье «Установка и настройка chrony».

Назначение клиенту доменного имени

Назначьте доменное имя клиентской машине. Имя клиента должно находиться в области домена сервера FreeIPA. В рассматриваемом примере клиенту будет назначено имя client1.redosipa.test:

hostnamectl set-hostname client1.redosipa.test

Отключение DNS-службы systemd-resolved

Откройте файл /etc/systemd/resolved.conf.

nano /etc/systemd/resolved.conf

Установите параметр DNSStubListener в значение no, как показано в примере. Это необходимо, чтобы отключить прослушивание systemd-resolved на порту 53.

После внесения изменений в файл необходимо перезапустить службу systemd-resolved командой:

systemctl restart systemd-resolved.service

Настройка сетевого адаптера

Клиентские машины должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать сервер FreeIPA для разрешения имен. Настройку можно выполнить как в графическом интерфейсе, так и в консоли. 

Для настройки DNS в графическом интерфейсе используйте утилиту «Сетевые соединения», расположенную в «Главном меню» – «Параметры» – «Расширенная конфигурация сети». Выберите активное подключение, нажмите кнопку «Изменить выбранное соединение».

В открывшемся окне перейдите на вкладку «Параметры IPv4», в поле «Дополнительные серверы DNS» напишите IP-адрес IPA-сервера (например, 192.168.185.130), в поле «Дополнительные поисковые домены» введите поисковый домен (например, redosipa.test), нажмите «Сохранить» и переподключитесь к сети.

После внесения изменений в конфигурацию сети дополнительно рекомендуется перезагрузить систему для избежания возможных конфликтов в работе других приложений.

Для проверки корректности настройки DNS необходимо просмотреть конфигурацию файла /etc/resolv.conf:

cat /etc/resolv.conf

# Generated by NetworkManager
search redosipa.test
nameserver 192.168.185.130
nameserver 192.168.100.1
nameserver 192.168.0.251

А также удостовериться в том, что SRV-запись указывает на DNS контроллера домена, например:

dig SRV _ldap._tcp.redosipa.test 
 
; «» DiG 9.18.24 «» SRV _ldap._tcp. redosipa.test 
;; global options: +cmd
;; Got answer:
;; -»HEADER«- opcode: QUERY, status: REFUSED, id: 60738
;; flags: qr rd; QUERY:1, ANSWER:0, AUTHORITY:0, ADDITIONAL:1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 1578a5044c5fcfd10100000065f7d9b4b4ed0949c8896235 (good)
; EDE: 18 (Prohibited)
;; QUESTION SECTION:
;_ldap._tcp. IN SRV
;;
;;
;;
;;Query time: 2 msec
SERVER: 192.168.185.130#53(192.168.185.130) (UDP)
WHEN: Mon Mar 18 09:05:40 MSK 2025
MSG SIZE rcvd: 73
;;
;;
;;
;;Got answer:
-»HEADER«- opcode: QUERY, status: NOERROR, id: 41485
flags: qr aa rd; QUERY: 1, ANSWER:0, AUTHORITY:1, ADDITIONAL:1
WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 1578a5044c5fcfd10100000065f7d9b4b4ed0949c8896235 (good)
;; QUESTION SECTION:
;redosipa.test. IN SRV
;; AUTHORITY SECTION:redosipa.test. 3600 IN SOA server.redosipa.test.
hostmaster.redosipa.test. 1710622807 3600 900 1209600 3600
;;
;;
;;
;;
Query time: 3 msec
SERVER: 192.168.185.130#53(192.168.185.130) (UDP)
WHEN: Mon Mar 18 09:05:40 MSK 2025
MSG SIZE rcvd: 124

Установка необходимых пакетов

Установите необходимые для развертывания IPA-клиента пакеты:

dnf install ipa-client

Настройка клиента и автоматический ввод в домен

Настройка клиентской машины производится с помощью утилиты ipa-client-install. В процессе настройки потребуется предоставить учетные данные привилегированного пользователя, которые будут использованы для регистрации клиента.

Настройка клиента поддерживает как интерактивный, так и автоматический режим.

В интерактивном режиме у администратора будут запрошены необходимые данные для продолжения настройки. В автоматическом режиме все данные передаются утилите сразу через необходимые параметры, дальнейшее взаимодействие с  администратором не требуется.

Далее описаны базовые сценарии настройки клиента. Более подробную информацию об использовании ipa-client-install и полный список доступных опций см. в справочной странице:

man ipa-client-install

Интерактивная настройка клиента

Для запуска настройки клиента в интерактивном режиме выполните:

ipa-client-install --mkhomedir

Для автоматического обновления записей DNS через IP-адрес клиентской машины добавьте параметр --enable-dns-updates. Для этого должно выполняться одно из условий:

• сервер FreeIPA, на котором будет зарегистрирован клиент, был установлен со встроенным DNS;

• DNS-сервер в сети принимает обновления записей DNS по протоколу GSS-TSIG.

Например:

ipa-client-install --enable-dns-updates --mkhomedir

Также можно добавить параметр --no-krb5-offline-passwords для отключения сохранения паролей Kerberos в кеше SSSD.

Если зоны DNS и записи SRV в используемой системе настроены правильно, сценарий автоматически обнаружит все необходимые значения и выведет их на экран. Введите yes для подтверждения.

Client hostname: client1.redosipa.testRealm: REDOSIPA.TESTDNS Domain: redosipa.testIPA Server: server.redosipa.testBaseDN: dc=redosipa,dc=testContinue to configure the system with these values? [no]: yes

Далее будут запрошены учетные данные (логин и пароль) пользователя, имеющего привилегии регистрации клиента в домене. По умолчанию используются учетные данные администратора, который был создан при настройке сервера FreeIPA:

User authorized to enroll computers: admin
Password for admin@REDOSIPA.TEST: <пароль_администратора_сервера>

После этого начнется процесс настройки клиента. При успешном завершении настройки будет выведено следующее сообщение:

Client configuration complete.
The ipa-client-install command was successful

Автоматическая настройка клиента

Для автоматической настройки клиента необходимо предоставить всю необходимую информацию утилите ipa-client-install, используя параметры командной строки.

Минимально необходимые параметры для автоматической настройки:

• --principal и --password – учетные данные привилегированного пользователя для регистрации клиента в домене;

• --unattended – автоматическая установка без взаимодействия с пользователем;

Если зоны DNS и записи SRV установлены в используемой системе правильно, сценарий автоматически обнаружит все остальные необходимые значения. Если сценарий не может обнаружить значения автоматически, необходимо указать их с помощью параметров командной строки:

• -U, --unattended – автоматическая установка без взаимодействия с пользователем;

• --hostname=HOST_NAME – полное DNS-имя клиента;

• --server=HOST_NAME – полное DNS-имя сервера;

• --domain=DOMAIN_NAME – основное доменное имя DNS для сервера FreeIPA;

• --realm=REALM_NAME – имя области Kerberos для сервера FreeIPA.

Для автоматического обновления записей DNS через IP-адрес клиентской машины добавьте параметр --enable-dns-updates. Для этого должно выполняться одно из условий:

• сервер FreeIPA, на котором будет зарегистрирован клиент, был установлен со встроенным DNS;

• DNS-сервер в сети принимает обновления записей DNS по протоколу GSS-TSIG.

Добавьте параметр --no-krb5-offline-passwords, чтобы отключить сохранение паролей Kerberos в кеше SSSD.

Более подробную информацию об использовании ipa-client-install и полный список доступных опций см. в справочной странице:

man ipa-client-install

Пример настройки клиента в автоматическом режиме:

ipa-client-install -U -p admin -w 12345678ipa --mkhomedir

Пример настройки клиента в автоматическом режиме с дополнительными параметрами:

ipa-client-install -U -p admin -w 12345678ipa \
--domain redosipa.test --server server.redosipa.test \
--realm REDOSIPA.TEST --mkhomedir

Далее начнется процесс настройки клиента. При успешном завершении настройки будет выведено следующее сообщение:

Client configuration complete.
The ipa-client-install command was successful

Ввод клиента в домен с помощью утилиты join-to-domain

Для присоединения клиентской машины к серверу FreeIPA можно использовать графическую утилиту join-to-domain. Для запуска утилиты перейдите в «Главное меню» – «Системные» – «Ввод ПК в домен».

В открывшемся окне выберите «Домен IPA».

Далее заполните все указанные поля – имя домена, имя клиентского компьютера, имя администратора домена и его пароль. Для продолжения нажмите «Да».

Затем начнется процесс присоединения клиента к домену. При удачном завершении ввода будет выведено сообщение следующего вида:

Также утилиту join-to-domain можно использовать в терминале. Для запуска утилиты необходимо выполнить команду join-to-domain.sh.

Пример ввода клиента client1 в домен redosipa.test:

join-to-domain.sh 
 
Ввод РЕД ОС в домен Windows(2008/2012/2016/2019/2022), SAMBA, IPA

Этот компьютер не в домене!
Продолжить выполнение (y/n)? y 
 
Выберите тип домена:
1. Ввод РЕД ОС в домен Windows/SAMBA
2. Ввод РЕД ОС в домен IPA
Укажите (1 или 2): 2 
 
Для ввода РЕД ОС в домен IPA, введите имя домена.
Пример: example.com

Имя домена: redosipa.test 
Введите имя ПК. Пример: client1
Имя ПК: client1 
Имя администратора домена: admin 
Домен redosipa.test доступен!
Введите пароль администратора домена IPA: <пароль_администратора_домена> 
Продолжить выполнение (y/n)? y

При успешном завершении процесса ввода клиентской машины в домен будет выведено следующее сообщение:

РЕД ОС успешно введён в домен IPA! Перезагрузите ПК.

На этом процесс присоединения клиента завершен.

Дата последнего изменения: 30.04.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.