首先,我的经验在于网络(思科)和 Windows。话虽如此,我已经着手设计一个多站点 FreeIPA 安装的项目。我有一个没有问题的单站点 FreeIPA。我遇到问题的地方是多站点。
假设我有三个站点:
- site1.example.com
- site2.example.com
- site3.example.com
我想将 example.com 作为我的首要领域。我需要有 IPA 服务器来运行 example.com 吗?
当我创建第一个 IPA 服务器 ipa.site1.example.com 并使用 example.com 域名时,没有为 example.com 创建 DNS 区域。我只有 site1.example.com 的 DNS 区域。
关于领域和 DNS 区域的文档似乎几乎不存在(或者我只是找错了方向)。如果有人有这方面的设置经验,或者能给我指明正确的方向,我将不胜感激。
答案1
不,您不需要在“example.com”中运行 IPA 服务器,但您需要正确设置的 DNS 服务器,该服务器可以正确地将子域“site1/2/3.exmaple.com”委托给其权威 DNS(我建议让 IPA 服务器自己处理其 DNS)。
对于每个领域,只需将以下两个记录添加到您的“example.com”区域即可 - 大功告成。我建议您将 A 记录直接指向您的“子域”IPA 服务器,并让它们处理自己的子域 DNS 区域。
ipa01.site1.example.com. A 10.20.30.40
site1.example.com NS ipa01.site1.example.com.
我也刚刚这样做了 - 使用两个领域“test.example.com”和prod.example.com,而没有现有的“example.com”。
但请注意,ipa-install-server即使系统本身配置了其他解析器,脚本默认也可能使用真实的公共 ROOT-DNS 服务器来解析您的域,因此您必须在 ipa-server-install 命令行上定义知道如何处理的转发器。
ipa-server-install --hostname=ipa01.test.example.com \
--domain=test.example.com \
--ds-password=secret \
--admin-password=moresecret \
--setup-dns -r TEST.EXAMPLE.COM \
--forwarder=XX.XX.XX.XX \
--forward-policy=only
其中 XX.XX.XX.XX 是“example.com”的 DNS 服务器的 IP
这应该可以解决问题。查看man ipa-server-install并搜索“前进”以获取更多详细信息。