Несколько сайтов/областей в FreeIPA

tag-icon tag-icon freeipa
Несколько сайтов/областей в FreeIPA

Для начала, мой опыт заключается в работе с сетями (Cisco) и Windows. При этом я был отправлен на проект по разработке многосайтовой установки FreeIPA. У меня есть односайтовый FreeIPA без проблем. Где я сталкиваюсь с проблемами, так это с многосайтовой.

Допустим, у меня есть три сайта:

  • site1.example.com
  • site2.example.com
  • site3.example.com

Я хочу иметь в качестве своего всеобъемлющего домена example.com. Мне нужен сервер IPA для запуска example.com?

Когда я создал первый сервер IPA, ipa.site1.example.com, и использовал имя области example.com, зона dns для example.com не была создана. У меня есть только зона dns для site1.example.com.

Документация по зонам realms и dns, похоже, почти отсутствует (или я просто смотрю не в том направлении). Если у кого-то есть опыт с этой настройкой или он может указать мне правильное направление, я был бы признателен.

решение1

Нет, вам не нужен IPA-сервер, работающий в «example.com», но вам нужен правильно настроенный DNS-сервер, который правильно делегирует поддомены «site1/2/3.exmaple.com» своему авторитетному DNS (я бы предложил позволить IPA-серверам самостоятельно управлять своим DNS).

Для каждой области просто добавьте следующие две записи в вашу зону "example.com" - и все готово. Я бы посоветовал вам направить A-записи непосредственно на ваш "поддоменный" IPA-сервер и позволить им обрабатывать свои собственные DNS-зоны поддоменов.

 ipa01.site1.example.com.     A        10.20.30.40
 site1.example.com            NS       ipa01.site1.example.com.

Я только что сделал то же самое — с двумя областями «test.example.com» и prod.example.com без существующей «example.com».

Но учтите, что ipa-install-serverскрипт по умолчанию может использовать реальные публичные корневые DNS-серверы для разрешения вашего домена, даже если в самой системе настроены другие резолверы, поэтому вам придется определить пересылающие серверы в командной строке ipa-server-install, которые знают, как обрабатывать, например, такие запросы.

ipa-server-install --hostname=ipa01.test.example.com \
  --domain=test.example.com                          \
  --ds-password=secret                               \
  --admin-password=moresecret                        \
  --setup-dns -r TEST.EXAMPLE.COM                    \
  --forwarder=XX.XX.XX.XX                            \
  --forward-policy=only

где XX.XX.XX.XX — IP вашего DNS-сервера для «example.com»

Это должно сработать. Посмотрите man ipa-server-installи найдите "вперед", чтобы получить больше подробностей.

Связанный контент