FreeIPA — серия гайдов по централизованной аутентификации

О серии

Серия практических гайдов по FreeIPA — от установки до интеграции с Hashicorp Vault и NFS/Autofs. Каждый гайд проверен в production-среде.

Карта серии

Гайд	Тема	Что получите
Установка FreeIPA	Сервер, DNS, CA, первые пользователи	Рабочий IdM с Kerberos и LDAP
NFS + Autofs	Централизованное хранилище	Автомонтирование домашних каталогов
Vault + FreeIPA	Управление секретами	LDAP-аутентификация для Vault, динамические credentials

Порядок прохождения

Установка FreeIPA — базовый сервер, без него остальное не работает
NFS + Autofs — опционально, если нужно централизованное хранилище
Vault интеграция — управление секретами поверх FreeIPA

Технологии

FreeIPA (LDAP, Kerberos, DNS, CA)
Hashicorp Vault
NFS v4 + Autofs
AlmaLinux / RHEL

FreeIPA: руководство по установке централизованной системы управления идентификацией

Категория: Системное администрирование Цель: Развернуть production FreeIPA с учётом всех подводных камней Чему научитесь: Правильная установка FreeIPA Настройка LDAP, Kerberos, DNS, CA Управление пользователями Мониторинг и решение проблем Резервное копирование Требования: RHEL/CentOS Stream/AlmaLinux/Rocky 8-9 Минимум 4GB RAM Статический IP и FQDN Доступ root Серия статей: все части Установка FreeIPA (эта статья) NFS + Autofs интеграция Hashicorp Vault интеграция Архитектура FreeIPA graph TB A[FreeIPA Сервер] A --> B[LDAP389 Directory] A --> C[KerberosMIT KDC] A --> D[DNSBIND] A --> E[CADogtag] Компоненты: ...

FreeIPA + NFS + Autofs: Production-Grade централизованное хранилище

Категория: Системное администрирование Цель: Настроить безопасное NFS хранилище с автомонтированием Чему научитесь: Безопасная настройка NFS (без no_root_squash!) Правильные параметры монтирования (hard vs soft) Autofs с FreeIPA LDAP Kerberos для NFS Решение проблем Требования: FreeIPA настроен (часть 1) RHEL/CentOS Stream/AlmaLinux/Rocky 8-9 Статический IP Root доступ Серия статей: все части Установка FreeIPA NFS + Autofs (эта статья) Hashicorp Vault интеграция Production vs Лаборатория Параметр Лаборатория Production NFS exports no_root_squash root_squash Монтирование /home soft hard DNS chattr +i NetworkManager Kerberos Опционально Обязательно SELinux Permissive Enforcing Важно: no_root_squash в production = нарушение безопасности! ...

Интеграция Hashicorp Vault с FreeIPA: Управление секретами в DevOps

Архитектура интеграции graph TB A[Пользователь] B[Vault Server] C[FreeIPA LDAP] A -->|1. Логин| B B -->|2. Проверка| C C -->|3. OK| B B -->|4. Token| A A -->|5. Секреты| B Процесс аутентификации: Пользователь вводит LDAP учётные данные Vault запрашивает FreeIPA LDAP FreeIPA проверяет учётные данные Vault выдаёт токен доступа Пользователь работает с секретами Серия статей: все части Установка FreeIPA NFS + Autofs интеграция Hashicorp Vault интеграция (эта статья) Требования Компонент Требования FreeIPA Настроен и работает (часть 1) Vault Server Linux, 2GB RAM Клиенты Vault CLI Сеть Доступ к FreeIPA:389 Часть 1: Установка Vault Установка на RHEL/CentOS # Репозиторий HashiCorp dnf config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo # Установка dnf install -y vault # Проверка vault --version Конфигурация Vault mkdir -p /etc/vault.d mkdir -p /opt/vault/data cat > /etc/vault.d/vault.hcl << 'EOF' # Vault конфигурация для интеграции с FreeIPA storage "file" { path = "/opt/vault/data" } listener "tcp" { address = "0.0.0.0:8200" tls_disable = 1 } api_addr = "http://192.168.1.30:8200" ui = true EOF chown -R vault:vault /opt/vault /etc/vault.d chmod 640 /etc/vault.d/vault.hcl Важно: tls_disable = 1 только для лаборатории! В production используйте TLS! ...

О серии#

Карта серии#

Порядок прохождения#

Технологии#

О серии

Карта серии

Порядок прохождения

Технологии