21. Настройка отказоустойчивой системы централизованного управления авторизацией пользователей

Задача:

• Настройка отказоустойчивой системы централизованного управления авторизацией пользователей
  • Разверните систему централизованного управления авторизацией пользователей
    • Разверните домен на базе FreeIPA
      • Основной сервер - SRV1
      • Дополнительный сервер (реплика) - SRV2
    • Имя домена - company.prof
    • DNS сервер - интегрированный с IPA
      • Запросы, которые выходят за рамки зоны, пересылаются на виртуальный адрес перенаправляющего DNS-сервера
      • Обратная зона - согласно топологии
      • Все устройства сети должны быть доступны по имени
    • CA сервер - интегрированный с IPA
      • Клиенты домена должны доверять центру сертификации
    • NTP сервер - интегрированный с IPA
      • NTP сервер должен синхронизировать время с отказоустойчивым сервером времени
    • Пароль администратора домена - P@ssw0rd
  • Настройте систему централизованного управления авторизацией пользователей
    • Создайте пользователей user1, user2 и mon с паролем P@ssw0rd,
    • Пользователей user1, user2 включите в группу prof
    • Пользователя mon включите в группу admins
    • Создайте правило admin_sudo, разрешающее группе пользователей admins использовать sudo на всех компьютерах в домене без ограничения.
    • Обеспечьте доменному пользователю admin, после успешной авторизации на клиентах, возможность заходить в интерфейс FreeIPA без использования пароля. Для аутентификации и авторизации используйте Kerberos.
      • Используйте Яндекс браузер
  • Клиентов CLI1 и CLI2 введите в домен FreeIPA
  • Настройте подключение к системе централизованного мониторинга с использованием FreeIPA
    • Используйте адрес системы централизованного мониторинга http://mon.company.prof/zabbix
    • Используйте LDAP в качестве аутентификацию по умолчанию
      • В настройках LDAP укажите все имеющиеся серверы
    • Используйте доменного пользователя mon
      • Группа – Zabbix Administrators
      • Тип пользователя – Супер администратор

Вариант реализации:

SRV1:

• Установим необходимый пакет:

apt-get update && apt-get install -y astra-freeipa-server

• Выполняем запуск установки домена freeipa в интерактивном режиме:

ipa-server-install

• • На первый вопрос, нужно ли сконфигурировать DNS-сервер BIND отвечаем yes;
  • Далее нужно указать имя узла, на котором будет установлен сервер FreeIPA, доменное имя и пространство Kerberos;
    • Эти имена нельзя изменить после завершения установки

• • Задать пароль для Directory Manager (cn=Directory Manager);
  • Задать пароль для администратора FreeIPA (будет создана учетная запись admin с правами администратора);
    • Пароли должны быть не менее 8 символов

• • Вводим IP-адрес сервера на который устанавливается freeipa;
  • Для настройки DNS нужно ли настроить перенаправления, ответить yes;
  • Будет предложено использовать адрес из /etc/resolv.conf - ответить no;
  • Указываем виртуальный IP-адрес в качестве перенаправляющего DNS;
  • Соглашаемся с созданием зоны обратного просмотра;
  • Проверяем корректность получившейся конфигурации freeipa - и вводим yes для развёртывания домена;

• Результат:

• Проверяем работоспособность служб freeipa:

ipactl status

• • Результат:

CLI1 или CLI2:

• Переходим в веб-интерфейс для управления доменом:
  • открываем в браузере https://srv1.company.prof
  • после того как клиент будет введён в домен - он автоматически станет доверять Корневому СА интегрированному с FreeIPA;

• Аутентифицируемся под пользователей admin с паролем P@sw0rd (заданны на этапе интерактивной установки домена):

• Подготавливаем основной контроллер домена для добавления репликации:
  • В веб-интерфейсе управления необходимо в зоне обратного просмотра создать запись для SRV2:
    • Переходим на вкладку Сетевые службы - далее выбираем DNS - затем выбираем Зоны DNS - выбираем зону обратного просмотра

• • Нажимаем Добавить - в качестве Тип записи выбираем PTR - в качестве Имя записи  указываем значение последнего октета в адресе - в качестве Hostname указываем имя в формате FQDN и нажимаем Добавить
    • т.к. - запись типо PTR - незабываем в конце Hostname поставить "." (точку);

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

• Проверяем:

SRV2:

• В качестве DNS - сервера необходимо указать  SRV1:

vim /etc/resolv.conf

• • Приводим к следующему виду:

• Установим необходимые пакеты:

apt-get update && apt-get install -y astra-freeipa-{server,client}

• Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
  • команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки

ipa-client-install

• • Указываем yes - затем имя и пароль для администратора домена

• Результат:

• В веб-интерфейсе FreeIPA - проверяем наличие srv2 как клиента:

• Выполняем репликацию:

ipa-replica-install --principal admin --admin-password P@ssw0rd

• • Результат:

• Проверяем:

• Добавляем в DNS записи о всех устройствах  в сети:

• Аналогично для всех устройств:
  • Результат:

• Создаём необходимую структуру пользователей и групп:
  • создаём группу prof

• • Создаём пользователя user1

• Аналогичным образом создаём пользователей user2 и mon:
  • Результат:

• Проверяем:

• Создаём правило "admin_sudo"

CLI1:

• Устанавливаем необходимые пакеты для ввода клиента в домен:

apt-get update && apt-get install -y task-auth-freeipa

• Переходим в альтератор для ввода клиента в домен используя графический интерфейс:

• • Вводим клиента в домен:

• Результат:
  • после - необходимо перезагрузать клиента

CLI2:

• Устанавливаем необходимые пакеты для ввода клиента в домен:

apt-get update && apt-get install -y fly-admin-freeipa-client

• Переходим в панель управления для ввода клиента в домен используя графический интерфейс:

• • Вводим клиента в домен:

• Результат:
  • после - необходимо перезагрузать клиента

CLI1 | CLI2:

• Обеспечиваем доменному пользователю admin, после успешной авторизации на клиентах, возможность заходить в интерфейс FreeIPA без использования пароля:
  • Устанавливаем веб-браузер Yandex

apt-get install -y yandex-browser-stable

• • В настройках браузера на странице Конфиденциальность и безопасность (chrome://settings/certificates) на вкладке Центры сертификации убедиться в наличии сертификата:

• • В файл /etc/opt/yandex/browser/policies/managed/policies.json добавить строку:

mkdir -p /etc/opt/yandex/browser/policies/managed/

vim /etc/opt/yandex/browser/policies/managed/policies.json

• • • Результат:

• Выполняем вход из под  пользователя admin:
  • затем переходим в браузере по https://srv1.company.prof - должен быть выполнем автоматический вход в веб-интерфейс FreeIPA - из под пользователя admin:

• Добавляем CNAME запись для доступа к zabbix по http://mon.company.prof/zabbix:

• Проверяем:
  • переходим в браузере по http://mon.company.prof/zabbix:

• Настраиваем аутентификацию Zabbix  с LDAP:

• Аналогично добавляем и SRV2:
  • Результат:

• Создаём пользователя mon - но НЕ задаём ему пароль, а добавляем в группу по требованиям задания:

• • и выдаём соответствующую роль:

• Результат:

• Выполняем вход на клиенте из под доменного пользователя mon и переходим в zabbix и выполняем аутентификацию: