Назад | Перейти на главную страницу

Каковы недостатки / проблемы при наличии REALM и DOMAIN с разными именами в FreeIPA?

Я пытался настроить сервер FreeIPA в учебных целях и получить централизованный доступ ко всем моим автономным службам для меня и моей семьи / друзей. Я начал с этого руководство где говорится: «Настоятельно рекомендуется использовать свое доменное имя в качестве области Kerberos. Использование другой схемы именования вызовет проблемы с интеграцией FreeIPA с Active Directory и может вызвать другие проблемы».

Однако мне не удалось найти в Интернете ничего, связанного с этой проблемой. Фактически, я видел, что он настроен с разными областями / доменами Вот. Прочитав несколько других документов, статей и т. Д., Я немного узнал, что такое делегирование DNS и использование параметра --allow-zone-overlap, но все еще немного запутался:

  1. Могу ли я использовать --allow-zone-overlap, если мои делегированные серверы в моем регистраторе, например, только Cloudflare, или я должен также включить общедоступный IP-адрес freeipa?
  2. Если в качестве зоны используется корневой домен, нужно ли мне поддерживать повторяющиеся записи как на сервере FreeIPA, так и в Cloudflare?

Итак, я решил настроить свой сервер FreeIPA с помощью --realm MYDOMAIN.COM и --domain ipa.mydomain.com (который, как мне кажется, является частной зоной DNS?)

Таким образом, основной псевдоним теперь совпадает с моими адресами электронной почты, и серверы могут обмениваться данными и присоединяться к каталогу, используя как частный IP-адрес, так и внешнее имя DNS. Похоже, что создание новых пользователей с правилами тоже работает.

Я нахожусь на очень ранней стадии настройки / обучения и еще не видел никаких ошибок, но мне любопытно, что я могу найти в будущем, если продолжу использовать эту настройку.

Прежде чем продолжить спуск в кроличью нору, может кто-нибудь указать мне правильное направление, возможные ошибки, которые я сделал, и т. Д., Пожалуйста?

Спасибо!

Ваша область IPA и основной домен должны совпадать. Это правило не является исключением. Практически все внутренние инструменты IPA предполагают, что ваш REALM совпадает с основным доменом и может быть преобразован 1: 1 в базовый DN в LDAP (например, REALM.TEST realm соответствует первичному домену DNS realm.test и dc = realm, dc = тестовая база DN).

Если вы хотите, чтобы в ваше развертывание были включены другие домены, вы можете сделать это, если соблюдаете приведенное выше правило.