Запускаем FreeIPA под Ubuntu
Когда нас спрашивают, какой дистрибутив мы рекомендуем для сервера, мы отвечаем — CentOS.
Когда нас просят назвать преимущества CentOS, в качестве одного из примеров мы приводим установку FreeIPA. Развитие этого ПО под эгидой RedHat привело к тому, что нормально собранные и протестированные пакеты выпускаются только для RHEL и Fedora.
В то же время, многие из наших коллег и клиентов продолжают строить свою инфраструктуру на базе Ubuntu LTS и Debian.
Это ставит их перед неприятным выбором:
- отказываться от комбайна FreeIPA и настраивать все сервисы вручную (LDAP, DNS, KDC, Samba и т.д.);
- добавлять поддержку CentOS в оркестрацию, мониторинг и т.д., чтобы устанавливать FreeIPA на её базе;
- попытаться исправить ошибки инсталляции FreeIPA.
Данные заметки призваны облегчить им третий вариант.
Перед установкой:
- в /etc/hosts и /etc/hostname должен использоваться FQDN;
- в /etc/hosts должен использоваться не 127.0.0.1, а маршрутизируемый IP.
Установка:
apt install freeipa-server
Исправление запуска Kerberos:
- описание ошибки: https://bugs.launchpad.net/ubuntu/+source/freeipa/+bug/1791325/comments/1
- исправление:
kinit admin
chmod 711 /var/lib/krb5kdc/
klist
Снова Kerberos:
- запуск krb5-admin-server.service будет выдавать следующую ошибку:
kadmind: Cannot open /etc/krb5kdc/kadm5.acl: No such file or directory while initializing ACL file
touch /etc/krb5kdc/kadm5.acl
Исправление веб-интерфейса:
- большинство элементов не отрисовывается, консоль браузера содержит ошибки 404;
- исправление:
cd /usr/share/fonts/truetype/
ln -s font-awesome fontawesome
Поддержка резервного копирования:
- ipa-backup ищет gzip в /usr/bin, но Debian и Ubuntu размещают его в /bin, поэтому:
cd /usr/bin && ln -s /bin/gzip .