Zunächst einmal habe ich Erfahrung mit Netzwerken (Cisco) und Windows. Allerdings wurde mir ein Projekt zur Entwicklung einer FreeIPA-Installation für mehrere Standorte zugewiesen. Ich habe FreeIPA für einzelne Standorte ohne Probleme. Bei mehreren Standorten habe ich jedoch Probleme.
Nehmen wir an, ich habe drei Websites:
- site1.beispiel.com
- site2.beispiel.com
- site3.beispiel.com
Ich möchte example.com als meinen übergeordneten Bereich haben. Benötige ich einen IPA-Server, um example.com auszuführen?
Als ich den ersten IPA-Server, ipa.site1.example.com, erstellte und den Realm-Namen example.com verwendete, wurde keine DNS-Zone für example.com erstellt. Ich habe nur eine DNS-Zone für site1.example.com.
Die Dokumentation für Realms und DNS-Zonen scheint so gut wie nicht vorhanden zu sein (oder ich suche einfach in die falsche Richtung). Wenn jemand Erfahrung mit dieser Einrichtung hat oder mir den richtigen Weg weisen könnte, wäre ich dankbar.
Antwort1
Nein, Sie benötigen keinen IPA-Server, der unter „example.com“ ausgeführt wird, aber Sie benötigen einen korrekt eingerichteten DNS-Server, der die Subdomänen „site1/2/3.exmaple.com“ korrekt an ihren autoritativen DNS delegiert (ich würde vorschlagen, die IPA-Server ihre DNS selbst verwalten zu lassen).
Fügen Sie für jeden Realm einfach die folgenden zwei Einträge zu Ihrer Zone „example.com“ hinzu – und fertig. Ich würde vorschlagen, dass Sie die A-Einträge direkt auf Ihren „Subdomain“-IPA-Server verweisen und diese ihre eigene Subdomain-DNS-Zone verwalten lassen.
ipa01.site1.example.com. A 10.20.30.40
site1.example.com NS ipa01.site1.example.com.
Das habe ich gerade auch gemacht – mit zwei Realms „test.example.com“ und prod.example.com ohne ein vorhandenes „example.com“.
Beachten Sie jedoch, dass das ipa-install-serverSkript standardmäßig echte öffentliche ROOT-DNS-Server zum Auflösen Ihrer Domäne verwenden kann, selbst wenn das System selbst andere Resolver konfiguriert hat. Sie müssen daher die Weiterleitungen in der Befehlszeile des ipa-server-install definieren, die beispielsweise mit Folgendem umgehen können:
ipa-server-install --hostname=ipa01.test.example.com \
--domain=test.example.com \
--ds-password=secret \
--admin-password=moresecret \
--setup-dns -r TEST.EXAMPLE.COM \
--forwarder=XX.XX.XX.XX \
--forward-policy=only
wobei XX.XX.XX.XX die IP Ihres DNS-Servers für "example.com" ist
Das sollte funktionieren. Schauen Sie nach man ipa-server-installund suchen Sie nach „Weiter“, um weitere Einzelheiten zu erfahren.