我安装了 FreeIPA,这是我的 etc/ipa/default.conf 文件
[global]
host = freeipa.domain.local
basedn = dc=domain,dc=local
realm = domain.LOCAL
domain = domain.local
xmlrpc_uri = https://freeipa.domain.local/ipa/xml
ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket
问题是:如果我需要从互联网访问 FreeIPA,我现在该怎么办?!例如,我需要设置 LDAP 客户端。他使用的域名在互联网上不存在,无法远程找到
URI ldaps://freeipa.domain.local
BASE dc=domain,dc=local
有什么建议或最佳解决方案吗?
答案1
您的域名存在严重且不可恢复的错误:您使用了不存在的以 结尾的域名.local
作为域名。您应该绝不使用.local
域名,以及这样做的原因(以及最佳实践) 与 Active Directory 中的非常相似。
我们强烈建议您不要使用未委托给您的域名,即使是在私人网络上。例如,您不应该使用域名公司.int如果您在公共 DNS 树中没有有效的委派。
如果不遵守此规则,域名将根据网络配置以不同的方式解析。因此,网络资源将变得不可用。使用未委托给您的域名也会使DNSSEC部署和维护更加困难。
有关此问题的更多信息,请参阅ICANN 关于域名冲突的常见问题解答。
但是,与 Active Directory 不同,无法重命名 FreeIPA 域。
安装后无法更改 FreeIPA 主域和领域。请仔细规划。不要期望从实验室/暂存环境迁移到生产环境(例如更改
lab.example.com
为prod.example.com
)
此时,你的恢复过程将如下所示:
- 使用 取消加入域中的所有主机
ipa-client-install --uninstall
。 - 销毁 FreeIPA 域控制器。
- 使用正确选择的域名重新安装 FreeIPA 域控制器。
- 将所有主机重新加入新域。
如果您已经创建了域服务(例如 Kerberized NFS、HTTP 等),则肯定会有更多步骤。您必须在新域上重新设置所有这些。
正确设置 FreeIPA 域后,使用现有域名的子域,您可以在该域中设置 NS 记录,以便子域的 DNS 可从 Internet 访问。之后,只需打开您希望在 Internet 上访问的服务的相关防火墙端口即可……