Vários sites/reinos no FreeIPA

tag-icon tag-icon freeipa
Vários sites/reinos no FreeIPA

Para começar, minha experiência está em redes (Cisco) e Windows. Dito isto, iniciei um projeto para projetar uma instalação FreeIPA multi-site. Tenho FreeIPA de site único sem problemas. Onde estou tendo problemas é em vários sites.

Digamos que eu tenha três sites:

  • site1.exemplo.com
  • site2.exemplo.com
  • site3.exemplo.com

Quero ter como meu domínio abrangente example.com. Preciso ter um servidor IPA para executar example.com?

Quando criei o primeiro servidor IPA, ipa.site1.example.com, e usei o nome de domínio example.com, nenhuma zona DNS foi criada para example.com. Eu só tenho uma zona DNS para site1.example.com.

A documentação para domínios e zonas DNS parece quase inexistente (ou estou apenas olhando na direção errada). Se alguém tiver experiência com essa configuração ou puder me indicar a direção certa, eu agradeceria.

Responder1

Não, você não precisa de um servidor IPA rodando em "example.com", mas precisa de um servidor DNS configurado corretamente que delegue corretamente os subdomínios "site1/2/3.exmaple.com" ao seu DNS autoritativo (I' Sugiro que os próprios servidores IPA cuidem de seus DNS).

Para cada domínio, basta adicionar os dois registros a seguir à sua zona "example.com" - e pronto. Eu sugiro que você aponte os registros A diretamente para o seu servidor IPA de "subdomínio" e faça com que eles administrem sua própria zona DNS de subdomínios.

 ipa01.site1.example.com.     A        10.20.30.40
 site1.example.com            NS       ipa01.site1.example.com.

Eu também fiz isso - com dois domínios "test.example.com" e prod.example.com sem um "example.com" existente.

Mas esteja ciente de que o ipa-install-serverscript por padrão pode usar ROOT-DNS-Servers públicos reais para resolver seu domínio, mesmo que o próprio sistema tenha outros resolvedores configurados, então você deve definir os encaminhadores na linha de comando ipa-server-install que sabem como para lidar, por exemplo, como.

ipa-server-install --hostname=ipa01.test.example.com \
  --domain=test.example.com                          \
  --ds-password=secret                               \
  --admin-password=moresecret                        \
  --setup-dns -r TEST.EXAMPLE.COM                    \
  --forwarder=XX.XX.XX.XX                            \
  --forward-policy=only

onde XX.XX.XX.XX é o IP do seu servidor DNS para "example.com"

Isso deve funcionar. Dê uma olhada man ipa-server-installe pesquise "forward" para obter mais detalhes.

informação relacionada