Несколько сайтов / областей в FreeIPA

Question

Несколько сайтов / областей в FreeIPA

Для начала, мой опыт лежит в сети (Cisco) и Windows. Тем не менее, я отправился в проект по разработке установки FreeIPA для нескольких сайтов. У меня есть один сайт FreeIPA без проблем. То, где я сталкиваюсь с проблемами, является мультисайтом.

Допустим, у меня есть три сайта:

site1.example.com
site2.example.com
site3.example.com

Я хочу иметь в качестве моего всеобъемлющего царства example.com. Нужно ли иметь IPA-сервер для запуска example.com?

Когда я создал первый IPA-сервер ipa.site1.example.com и использовал имя области example.com, зона dns не была создана для example.com. У меня есть только DNS-зона для site1.example.com.

Документация для областей и областей DNS, кажется, почти отсутствует (или я просто смотрю в неправильном направлении). Если у кого-то есть опыт с этой настройкой, или вы можете указать мне правильное направление, я был бы признателен.

2

freeipa

Источник

TerryM 19 янв '17 в 14:44

1 ответ

Другие вопросы по тегам freeipa

Andreas Balg 27 янв '17 в 20:34 2017-01-27 20:34 · Answer 1 · 2017-01-27 20:34

Нет, вам не нужен IPA-сервер, работающий на "example.com", но вам нужен правильно настроенный DNS-сервер, который правильно делегирует субдомены "site1/2/3.exmaple.com" их авторитетным DNS (я Я предлагаю, чтобы IPA-серверы сами обрабатывали свои DNS).

Для каждой области просто добавьте следующие две записи в свою зону "example.com" - и все готово. Я бы посоветовал вам направить A-Records непосредственно на ваш IPA-сервер "субдомен" и заставить их обрабатывать свои собственные субдомены DNS-зоны.

 ipa01.site1.example.com.     A        10.20.30.40
 site1.example.com            NS       ipa01.site1.example.com.

Я только что сделал это - с двумя сферами "test.example.com" и prod.example.com без существующего "example.com".

Но имейте в виду, что ipa-install-server Сценарий по умолчанию может использовать реальные общедоступные ROOT-DNS-серверы для разрешения вашего домена, даже если в самой системе настроены другие преобразователи, поэтому вам нужно определить серверы пересылки в командной строке ipa-server-install, которые знают, как обрабатывать, например, like.

ipa-server-install --hostname=ipa01.test.example.com \
  --domain=test.example.com                          \
  --ds-password=secret                               \
  --admin-password=moresecret                        \
  --setup-dns -r TEST.EXAMPLE.COM                    \
  --forwarder=XX.XX.XX.XX                            \
  --forward-policy=only

где XX.XX.XX.XX - это IP-адрес вашего DNS-сервера для "example.com"

Это должно сделать свое дело. Посмотри на man ipa-server-install и искать "вперед", чтобы получить более подробную информацию.