Múltiples sitios/reinos en FreeIPA

tag-icon tag-icon freeipa
Múltiples sitios/reinos en FreeIPA

Para empezar, mi experiencia radica en redes (Cisco) y Windows. Dicho esto, me embarcaron en un proyecto para diseñar una instalación FreeIPA en múltiples sitios. Tengo FreeIPA de un solo sitio sin ningún problema. Donde tengo problemas es en varios sitios.

Digamos que tengo tres sitios:

  • sitio1.ejemplo.com
  • sitio2.ejemplo.com
  • sitio3.ejemplo.com

Quiero tener como ámbito general example.com. ¿Necesito tener un servidor IPA para ejecutar example.com?

Cuando creé el primer servidor IPA, ipa.site1.example.com, y usé el nombre de dominio example.com, no se creó ninguna zona DNS para example.com. Sólo tengo una zona DNS para site1.example.com.

La documentación para reinos y zonas DNS parece casi inexistente (o simplemente estoy mirando en la dirección equivocada). Si alguien tiene experiencia con esta configuración o puede indicarme la dirección correcta, se lo agradecería.

Respuesta1

No, no necesita un servidor IPA ejecutándose en "ejemplo.com", pero necesita un servidor DNS configurado correctamente que delega correctamente los subdominios "sitio1/2/3.exmaple.com" a su DNS autorizado (I' Sugeriría dejar que los servidores IPA manejen sus DNS ellos mismos).

Para cada reino, simplemente agregue los dos registros siguientes a su zona "example.com" y listo. Le sugiero que apunte los registros A directamente a su servidor IPA de "subdominio" y que manejen su propia zona DNS de subdominios.

 ipa01.site1.example.com.     A        10.20.30.40
 site1.example.com            NS       ipa01.site1.example.com.

También hice eso: con dos dominios "test.example.com" y prod.example.com sin un "example.com" existente.

Pero tenga en cuenta que el ipa-install-serverscript de forma predeterminada puede utilizar servidores ROOT-DNS públicos reales para resolver su dominio, incluso si el sistema tiene otros solucionadores configurados, por lo que debe definir los reenviadores en la línea de comandos ipa-server-install que sepan cómo hacerlo. para manejar, por ejemplo, me gusta.

ipa-server-install --hostname=ipa01.test.example.com \
  --domain=test.example.com                          \
  --ds-password=secret                               \
  --admin-password=moresecret                        \
  --setup-dns -r TEST.EXAMPLE.COM                    \
  --forwarder=XX.XX.XX.XX                            \
  --forward-policy=only

donde XX.XX.XX.XX es la IP de su servidor DNS para "ejemplo.com"

Esto debería funcionar. Eche un vistazo man ipa-server-instally busque "adelante" para obtener más detalles.

información relacionada