Назад | Перейти на главную страницу

Создайте рабочий IPA-сервер без интеграции DNS и NTP с клиентом

Мы собираемся развернуть сервер Linux с централизованной аутентификацией (RHEL6) для наших серверов RedHat / CentOS в среде центра обработки данных. Я произвел поиск, я считаю, что Free IPA - лучший выбор, поскольку он более безопасен, имеет лучшие правила sudo и HBAC, возможность устанавливать политики паролей, его можно интегрировать с Windows Active Directory и другие.

Однако у меня проблема с NTP и DNS, у нас уже есть кластеры DNS и NTP в среде DC. Я считаю, что могу сделать IPA в качестве сервера пересылки DNS, но это все равно будет промежуточное ПО. Более того, у нас не будет IPA-сервера в качестве кластера, поэтому было бы как-то рискованно быть централизованным DNS- и NTP-сервером.

Мои вопросы здесь: 1. Почему у меня должны быть централизованные DNS и NTP с IPA? 2. Могу ли я избежать настройки DNS и NTP и удовлетворить мои существующие DNS и NTP-серверы для моих клиентов IPA? Кроме того, избегать использования IPA в качестве промежуточного программного обеспечения для DNS и NTP? 3. Есть ли лучшая альтернатива, чем IPA, стабильный, масштабируемый и простой сервер конфигурации?

Спасибо..

вам не обязательно. Вы можете использовать существующую инфраструктуру DNS- и NTP-серверов, но вам нужно будет самостоятельно управлять записями ipa, вместо того, чтобы об этом позаботиться ipa.

На самом деле не имеет значения, на каких серверах работает служба DNS, если клиенты получают ответы от вашей инфраструктуры. Вы можете, например, делегировать поддомен на своем основном DNS-сервере контроллерам домена ipa. Вам не нужно ничего менять на клиентах, они по-прежнему будут запрашивать ваши DNS-серверы, которые, в свою очередь, будут опрашивать контроллеры домена ipa, кэширующие информацию, как если бы они поступали с любым другим внешним доменом.

То же самое и с инфраструктурой ntp. Что важно, так это наличие в сети канонического источника времени. Какой именно, не так важно. Разверните конфигурации с помощью вашего любимого инструмента управления конфигурациями.

Синхронизация DNS и NTP между вашим IPA-сервером и клиентами имеет решающее значение для выдачи билетов Kerberos и их признания действительными. Вот почему RedHat рекомендует настроить ваш IPA-сервер в качестве NTP-сервера. DNS более необязателен; критически важной частью DNS является то, что прямой и обратный поиск успешны и совпадают.

Опубликованное RedHat руководство по IdM (построенное на IPA) можно найти здесь: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/#dns-reqs См. Раздел 2.4.6 для более подробного объяснения NTP и 3.5 для DNS.

Краткий обзор двух служб: «Обычно настраивается несколько DNS-серверов, каждый из которых работает как авторитетный ресурс для машин в определенном домене. Наличие сервера IdM также в качестве DNS-сервера необязательно, но настоятельно рекомендуется. Сервер IdM также управляет DNS, существует тесная интеграция между зонами DNS и клиентами IdM, а конфигурацией DNS можно управлять с помощью собственных инструментов IdM. Даже если сервер IdM является DNS-сервером, другие внешние DNS-серверы все равно можно использовать ». (1.2.4, абзац 3)

"Когда сервер IdM является сервером NTP для домена, все время и даты синхронизируются перед выполнением любых других операций. Это позволяет использовать все службы, связанные с датой, включая истечение срока действия пароля, билета и сертификата, настройки блокировки учетной записи и даты создания записи - функционировать должным образом ". (1.2.6, абзац 3)