首先,我的經驗在於網路(思科)和 Windows。話雖如此,我已經啟動了一個設計多網站 FreeIPA 安裝的專案。我有單一站點 FreeIPA,沒有任何問題。我遇到問題的地方是多站點。
假設我有三個網站:
- site1.example.com
- site2.example.com
- site3.example.com
我希望將 example.com 作為我的首要領域。我需要 IPA 伺服器才能運行 example.com 嗎?
當我建立第一個 IPA 伺服器 ipa.site1.example.com 並使用 example.com 領域名稱時,沒有為 example.com 建立 dns 區域。我只有 site1.example.com 的 DNS 區域。
領域和 DNS 區域的文檔似乎幾乎不存在(或者我只是看錯了方向)。如果有人有此設定的經驗,或者可以為我指出正確的方向,我將不勝感激。
答案1
不,您不需要在「example.com」中運行的IPA 伺服器,但您需要一個正確設定的DNS 伺服器,該伺服器正確地將子網域「site1/2/3.exmaple.com」委託給其權威DNS (我'建議讓 IPA 伺服器自行處理其 DNS)。
對於每個領域,只需將以下兩筆記錄新增至您的「example.com」區域 - 就完成了。我建議您將 A 記錄直接指向您的「子網域」IPA 伺服器,並讓它們處理自己的子網域 DNS 區域。
ipa01.site1.example.com. A 10.20.30.40
site1.example.com NS ipa01.site1.example.com.
我也這樣做了 - 有兩個領域“test.example.com”和 prod.example.com,但沒有現有的“example.com”。
但請注意,ipa-install-server預設情況下,即使系統本身配置了其他解析器,腳本也可能使用真正的公共ROOT-DNS-Server 來解析您的網域,因此您必須在ipa-server-install 命令列上定義知道如何操作的轉發器處理例如類似。
ipa-server-install --hostname=ipa01.test.example.com \
--domain=test.example.com \
--ds-password=secret \
--admin-password=moresecret \
--setup-dns -r TEST.EXAMPLE.COM \
--forwarder=XX.XX.XX.XX \
--forward-policy=only
其中 XX.XX.XX.XX 是「example.com」的 DNS 伺服器的 IP
這應該可以解決問題。查看man ipa-server-install並蒐索“轉發”以獲取更多詳細資訊。