Назад | Перейти на главную страницу

Доступ FreeIPA из Интернета, если dc = domain, dc = local (freeipa.domain.local)

Я установил FreeIPA, вот мой файл etc / ipa / default.conf

[global]
host = freeipa.domain.local
basedn = dc=domain,dc=local
realm = domain.LOCAL
domain = domain.local
xmlrpc_uri = https://freeipa.domain.local/ipa/xml
ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket

Проблема в том, что я собираюсь с этим делать сейчас, если мне нужен доступ к FreeIPA из Интернета ?! Например, мне нужно настроить клиент LDAP. Он использует доменное имя, которого нет в Интернете и которое нельзя найти удаленно.

URI ldaps://freeipa.domain.local
BASE dc=domain,dc=local

Любой совет или лучшее решение?

В вашем домене есть серьезная и неустранимая ошибка: вы использовали несуществующее доменное имя, оканчивающееся на .local как доменное имя. Вам следует никогда использовать .local для доменных имен, и причины этого (и лучшие практики) во многом такие же, как и для Active Directory.

Из Рекомендации по развертыванию FreeIPA:

Мы настоятельно рекомендуем не использовать не делегированное вам доменное имя даже в частной сети. Например, вы не должны использовать доменное имя company.int если у вас нет действительного делегирования для него в публичном дереве DNS.

Если это правило не соблюдается, имя домена будет разрешено по-разному в зависимости от конфигурации сети. В результате сетевые ресурсы станут недоступны. Использование не делегированных вам доменных имен также делает DNSSEC сложнее в развертывании и обслуживании.

Дополнительную информацию об этой проблеме см. В Часто задаваемые вопросы ICANN о конфликтах доменных имен.

Однако, в отличие от Active Directory, переименовать домен FreeIPA невозможно.

После установки изменить основной домен и область FreeIPA невозможно. Тщательно планируйте. Не ожидайте перехода из лабораторной / промежуточной среды в производственную (например, изменение lab.example.com к prod.example.com)

На этом этапе процедура восстановления будет выглядеть примерно так:

  1. Отключите все хосты от домена с помощью ipa-client-install --uninstall.
  2. Уничтожьте контроллеры домена FreeIPA.
  3. Переустановите контроллеры домена FreeIPA, используя правильно выбранное доменное имя.
  4. Повторно присоедините все хосты к новому домену.

Определенно будет больше шагов для этого, если вы создали службы домена, такие как керберизованный NFS, HTTP и т. Д. Вам придется снова настроить все это в новом домене.

После того, как вы правильно настроили домен FreeIPA, используя поддомен вашего существующего доменного имени, вы можете настроить записи NS в этом домене, чтобы DNS поддомена был доступен из Интернета. После этого он просто открывает соответствующие порты брандмауэра для служб, которые должны быть доступны в Интернете ...