Я установил FreeIPA, вот мой файл etc / ipa / default.conf
[global]
host = freeipa.domain.local
basedn = dc=domain,dc=local
realm = domain.LOCAL
domain = domain.local
xmlrpc_uri = https://freeipa.domain.local/ipa/xml
ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket
Проблема в том, что я собираюсь с этим делать сейчас, если мне нужен доступ к FreeIPA из Интернета ?! Например, мне нужно настроить клиент LDAP. Он использует доменное имя, которого нет в Интернете и которое нельзя найти удаленно.
URI ldaps://freeipa.domain.local
BASE dc=domain,dc=local
Любой совет или лучшее решение?
В вашем домене есть серьезная и неустранимая ошибка: вы использовали несуществующее доменное имя, оканчивающееся на .local
как доменное имя. Вам следует никогда использовать .local
для доменных имен, и причины этого (и лучшие практики) во многом такие же, как и для Active Directory.
Из Рекомендации по развертыванию FreeIPA:
Мы настоятельно рекомендуем не использовать не делегированное вам доменное имя даже в частной сети. Например, вы не должны использовать доменное имя company.int если у вас нет действительного делегирования для него в публичном дереве DNS.
Если это правило не соблюдается, имя домена будет разрешено по-разному в зависимости от конфигурации сети. В результате сетевые ресурсы станут недоступны. Использование не делегированных вам доменных имен также делает DNSSEC сложнее в развертывании и обслуживании.
Дополнительную информацию об этой проблеме см. В Часто задаваемые вопросы ICANN о конфликтах доменных имен.
Однако, в отличие от Active Directory, переименовать домен FreeIPA невозможно.
После установки изменить основной домен и область FreeIPA невозможно. Тщательно планируйте. Не ожидайте перехода из лабораторной / промежуточной среды в производственную (например, изменение
lab.example.com
кprod.example.com
)
На этом этапе процедура восстановления будет выглядеть примерно так:
ipa-client-install --uninstall
.Определенно будет больше шагов для этого, если вы создали службы домена, такие как керберизованный NFS, HTTP и т. Д. Вам придется снова настроить все это в новом домене.
После того, как вы правильно настроили домен FreeIPA, используя поддомен вашего существующего доменного имени, вы можете настроить записи NS в этом домене, чтобы DNS поддомена был доступен из Интернета. После этого он просто открывает соответствующие порты брандмауэра для служб, которые должны быть доступны в Интернете ...