Я пытался настроить сервер FreeIPA в учебных целях и получить централизованный доступ ко всем моим автономным службам для меня и моей семьи / друзей. Я начал с этого руководство где говорится: «Настоятельно рекомендуется использовать свое доменное имя в качестве области Kerberos. Использование другой схемы именования вызовет проблемы с интеграцией FreeIPA с Active Directory и может вызвать другие проблемы».
Однако мне не удалось найти в Интернете ничего, связанного с этой проблемой. Фактически, я видел, что он настроен с разными областями / доменами Вот. Прочитав несколько других документов, статей и т. Д., Я немного узнал, что такое делегирование DNS и использование параметра --allow-zone-overlap, но все еще немного запутался:
Итак, я решил настроить свой сервер FreeIPA с помощью --realm MYDOMAIN.COM и --domain ipa.mydomain.com (который, как мне кажется, является частной зоной DNS?)
Таким образом, основной псевдоним теперь совпадает с моими адресами электронной почты, и серверы могут обмениваться данными и присоединяться к каталогу, используя как частный IP-адрес, так и внешнее имя DNS. Похоже, что создание новых пользователей с правилами тоже работает.
Я нахожусь на очень ранней стадии настройки / обучения и еще не видел никаких ошибок, но мне любопытно, что я могу найти в будущем, если продолжу использовать эту настройку.
Прежде чем продолжить спуск в кроличью нору, может кто-нибудь указать мне правильное направление, возможные ошибки, которые я сделал, и т. Д., Пожалуйста?
Спасибо!
Ваша область IPA и основной домен должны совпадать. Это правило не является исключением. Практически все внутренние инструменты IPA предполагают, что ваш REALM совпадает с основным доменом и может быть преобразован 1: 1 в базовый DN в LDAP (например, REALM.TEST realm соответствует первичному домену DNS realm.test и dc = realm, dc = тестовая база DN).
Если вы хотите, чтобы в ваше развертывание были включены другие домены, вы можете сделать это, если соблюдаете приведенное выше правило.