Доступ FreeIPA из Интернета, если dc = domain, dc = local (freeipa.domain. local)
Я установил FreeIPA, вот мой файл etc / ipa / default.conf
[global]
host = freeipa.domain.local
basedn = dc=domain,dc=local
realm = domain.LOCAL
domain = domain.local
xmlrpc_uri = https://freeipa.domain.local/ipa/xml
ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket
Проблема в том, что я собираюсь с этим делать сейчас, если я нужен доступ к FreeIPA из интернета ?! Например, мне нужно настроить клиент LDAP. Он использует доменное имя, которого нет в Интернете и которое нельзя найти удаленно
URI ldaps://freeipa.domain.local
BASE dc=domain,dc=local
Есть какой-нибудь совет или лучшее решение?
В вашем домене есть серьезная и неустранимая ошибка: вы использовали несуществующее доменное имя, оканчивающееся на .local в качестве имени домена. Вы не должны никогда использовать .local для доменных имен, и причины этого (и передовой опыт ) во многом те же, что и для Active Directory.
Из Рекомендации по развертыванию FreeIPA :
Мы настоятельно рекомендуем вам не использовать не делегированное вам доменное имя даже в частной сети. Например, вы не должны использовать доменное имя company.int , если у вас нет допустимого делегирования для него в общедоступном дереве DNS.
Если это правило не соблюдается, доменное имя будет разрешено по-разному в зависимости от конфигурации сети. В результате сетевые ресурсы станут недоступны. Использование не делегированных вам доменных имен также затрудняет развертывание и обслуживание DNSSEC .
Для получения дополнительной информации об этой проблеме см. Часто задаваемые вопросы ICANN о конфликтах доменных имен .
Однако, в отличие от Active Directory, переименовать домен FreeIPA невозможно.
Невозможно изменить основной домен и область FreeIPA после установки. Тщательно планируйте. Не ожидайте перехода из лабораторной / промежуточной среды в производственную (например, измените
lab.example.comнаprod.example.com)
На этом этапе ваша процедура восстановления будет выглядит примерно так:
- Отключите все хосты от домена с помощью
ipa-client-install --uninstall. - Уничтожьте контроллеры домена FreeIPA.
- Переустановите контроллеры домена FreeIPA, используя правильно выбранное доменное имя.
- Повторно присоедините все хосты к новому домену.
Для этого определенно потребуется больше шагов, если вы создали службы домена, такие как керберизованный NFS, HTTP и т. д. Вам нужно будет установить все из них снова в новом домене.
После того, как вы правильно настроили домен FreeIPA, используя субдомен вашего существующего доменного имени, вы можете настроить записи NS в этом домене, чтобы DNS субдомена был доступен из Интернет. После этого он просто открывает соответствующие порты брандмауэра для служб, которые должны быть доступны в Интернете ...