Практическая работа: Модуль 4. Работа службы каталога ALD Pro

См. также Требования, правила и цели выполнения практической работы

Практические задания

Задача 1.

  • Используя утилиту ipactl, получите статус сервисов FreeIPA.

  • Используя утилиту aldproctl, получите статус сервисов ALD Pro.

Задача 2.

Создайте резервную копию данных FreeIPA с помощью утилиты ipa-backup.

Задача 3.

Используя портал управления ALD Pro, создайте нового пользователя testadmin и добавьте его в группу администраторов admins.

Задача 4.

Сгенерируйте keytab-файл для только что созданного пользователя testadmin с помощью утилиты ipa-getkeytab.

Задача 5.

С помощью keytab-файла и команды user-status утилиты ipa получите статус пользователя admin.

Задача 6.

Используя утилиту dsctl, создайте отчет healthcheck в обычном формате и JSON.

Задача 7.

Используя dsconf, получите статистику по использованию сервера.

Ответы на практические задания (пошаговые инструкции)

Задача 1.

  • Используя утилиту ipactl, получите статус сервисов FreeIPA сервера:

  sudo ipactl status

Результат выполнения команды:

admin@dc-1:~$ sudo ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
smb Service: RUNNING
winbind Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

  • Используя утилиту aldproctl, получите статус сервисов ALD Pro сервера:

  sudo aldproctl status

Результат выполнения команды:

admin@dc-1:~$ sudo aldproctl status
.....Сервисы ALD Pro.....
Сервис aldpro-mp-services: ЗАПУЩЕН
Сервис globalcatalog: ЗАПУЩЕН
Сервис ipa-gcsyncd: ЗАПУЩЕН
.....Сервисы FreeIPA.....
Сервис Directory Service: ЗАПУЩЕН
Сервис krb5kdc: ЗАПУЩЕН
Сервис kadmin: ЗАПУЩЕН
Сервис named: ЗАПУЩЕН
Сервис httpd: ЗАПУЩЕН
Сервис ipa-custodia: ЗАПУЩЕН
Сервис smb: ЗАПУЩЕН
Сервис winbind: ЗАПУЩЕН
Сервис ipa-otpd: ЗАПУЩЕН
Сервис ipa-dnskeysyncd: ЗАПУЩЕН
.....Другие сервисы.....
Сервис celery: ЗАПУЩЕН
Сервис celerybeat: ЗАПУЩЕН

Задача 2.

Создайте резервную копию данных FreeIPA с помощью утилиты ipa-backup:

sudo ipa-backup

Результат выполнения команды:

admin@dc-1:~$ sudo ipa-backup
Preparing backup on tdc01.ald.lan
Local roles match globally used roles, proceeding.
Stopping IPA services
Backing up userRoot in ALD-LAN to LDIF
Backing up ALD-LAN
Backing up files
Starting IPA service
Backed up to /var/lib/ipa/backup/ipa-full-2025-04-02-16-54-32
The ipa-backup command was successful

Задача 3.

Используя портал управления ALD Pro, создайте нового пользователя testadmin и добавьте его в группу администраторов admins.

../_images/image1.png

рис. 255 Создание пользователя testadmin

../_images/image2.png

рис. 256 Добавление пользователя в группу admins

Задача 4.

Получите keytab для только что созданного пользователя testadmin с помощью утилиты ipa-getkeytab:

kinit admin

ipa user-mod testadmin \
  --password-expiration="$(date +'%Y%m%d000000Z' -d '+90 days')"

sudo ipa-getkeytab -s dc-1.ald.company.lan -p testadmin -k /tmp/testadmin.keytab

Результат выполнения команды:

admin@dc-1:~$ kinit admin
Password for admin@ALD.COMPANY.LAN:

admin@dc-1:~$ ipa user-mod testadmin \
>       --password-expiration="$(date +'%Y%m%d000000Z' -d '+90 days')"
--------------------------------
Изменён пользователь "testadmin"
--------------------------------
...

admin@dc-1:~$ sudo ipa-getkeytab -s dc-1.ald.company.lan -p testadmin -k /tmp/testadmin.keytab
Таблица ключей успешно получена и сохранена в: /tmp/testadmin.keytab

Задача 5.

С помощью keytab-файла и команды user-status утилиты ipa получите статус пользователя admin.

sudo kinit testadmin -kt /tmp/testadmin.keytab
ipa user-status admin

Результат выполнения команд:

admin@dc-1:~$ sudo kinit testadmin -kt /tmp/testadmin.keytab

admin@dc-1:~$ ipa user-status admin
-----------------------
Account disabled: False
-----------------------
Сервер: dc-1.ald.company.lan
Неудачные попытки входа: 0
Последняя успешная аутентификация: N/A
Последняя ошибка при аутентификации: N/A
Время сейчас: 2025-05-09T10:40:14Z
---------------------------------
Количество возвращённых записей 1
---------------------------------

Задача 6

Используя утилиту dsctl, создайте отчет healthcheck в обычном формате и JSON:

sudo dsctl --json slapd-ALD-COMPANY-LAN healthcheck

Результат выполнения команды:

admin@dc-1:~$ sudo dsctl --json slapd-ALD-COMPANY-LAN healthcheck
Enter password for cn=Directory Manager on ldap://dc-1.ald.company.lan:
[]

Пустые квадратные скобки означают что нет проблем, проверим это командой:

sudo dsctl slapd-ALD-COMPANY-LAN healthcheck

Результат выполнения команды:

admin@dc-1:~$ sudo dsctl slapd-ALD-COMPANY-LAN healthcheck
Enter password for cn=Directory Manager on ldap://dc-1.ald.company.lan:
Beginning lint report, this could take a while ...
Checking config:hr_timestamp ...
Checking config:passwordscheme ...
Checking backends:changelog:cl_trimming ...
...
Checking logs:notes ...
Healthcheck complete.
No issues found.

Задача 7

Используя dsconf, получите статистику по использованию сервера.

sudo dsconf slapd-ALD-COMPANY-LAN monitor server

Результат выполнения команды:

admin@dc-1:~$ sudo dsconf slapd-ALD-COMPANY-LAN monitor server
Enter password for cn=Directory Manager on ldap://dc-1.ald.company.lan:
dn: cn=monitor
version: 389-Directory/2.3.2 B2023.038.0907
threads: 17
connection: 6:20240321135430Z:667:667:-:cn=Directory
Manager:0:0:0:6:ip=local
connection: 7:20240321135430Z:757:757:-:cn=Directory
Manager:0:0:0:7:ip=local
connection: 10:20240321135430Z:8:8:-:cn=Directory
Manager:0:0:0:10:ip=local
connection:
...
currenttime: 20240321143733Z
starttime: 20240321135429Z
nbackends: 2