Vários sites / reinos no FreeIPA

1

Para começar, minha experiência está na rede (Cisco) e no Windows. Dito isto, fui destacado em um projeto para projetar uma instalação FreeIPA multi-site. Eu tenho site único FreeIPA sem nenhum problema. Onde estou com problemas é multi-site.

Digamos que eu tenha três sites:

  • site1.example.com
  • site2.example.com
  • site3.example.com

Eu quero ter como meu domínio abrangente example.com. Preciso ter um servidor IPA para executar o example.com?

Quando criei o primeiro servidor IPA, ipa.site1.example.com, e usei o nome da esfera example.com, nenhuma zona dns foi criada para example.com. Eu só tenho uma zona de DNS para site1.example.com.

A documentação para regiões e zonas dns parece estar próxima a inexistente (ou estou apenas procurando na direção errada). Se alguém tiver experiência com essa configuração ou puder me apontar na direção certa, agradeceria.

    
por TerryM 19.01.2017 / 15:44

1 resposta

2

Não, você não precisa de um IPA-Server em execução em "example.com", mas precisa de um servidor DNS configurado corretamente para delegar corretamente os subdomínios "site1 / 2 / 3.exmaple.com" ao DNS autoritativo. (Eu sugiro que os servidores IPA lidem com o próprio DNS).

Para cada reino, basta adicionar os dois registros a seguir à sua zona "example.com" - e pronto. Eu sugiro que você aponte os Registros A diretamente para o seu servidor IPA "subdomínio" e faça com que eles manipulem sua própria zona DNS SubDomains.

 ipa01.site1.example.com.     A        10.20.30.40
 site1.example.com            NS       ipa01.site1.example.com.

Eu também fiz isso - com dois domínios "test.example.com" e prod.example.com sem um "example.com" existente.

Mas esteja ciente de que o script ipa-install-server por padrão pode usar servidores ROOT-DNS públicos reais para resolver seu domínio, mesmo que o próprio sistema tenha outros resolvedores configurados, portanto você deve definir os encaminhadores no ipa-server-install linha de comando que sabe como lidar, por exemplo como.

ipa-server-install --hostname=ipa01.test.example.com \
  --domain=test.example.com                          \
  --ds-password=secret                               \
  --admin-password=moresecret                        \
  --setup-dns -r TEST.EXAMPLE.COM                    \
  --forwarder=XX.XX.XX.XX                            \
  --forward-policy=only

em que XX.XX.XX.XX é o IP do seu servidor DNS para "example.com"

Isso deve fazer o truque. Dê uma olhada em man ipa-server-install e procure por "encaminhar" para obter mais detalhes.

    
por 27.01.2017 / 21:34

Tags