我安装了FreeIPA,这里是我的etc / ipa / default.conf文件
[global] host = freeipa.domain.local basedn = dc=domain,dc=local realm = domain.LOCAL domain = domain.local xmlrpc_uri = https://freeipa.domain.local/ipa/xml ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket 问题是:如果我需要从互联网上访问FreeIPA,我现在要做什么呢? 例如,我需要设置LDAP客户端。 他使用互联网中不存在的域名,无法远程查找
URI ldaps://freeipa.domain.local BASE dc=domain,dc=local
任何build议或最佳解决scheme?
您的网域存在严重且无法恢复的错误:您以.local结尾的不存在的域名作为域名。 您不应该使用.local作为域名,其原因(和最佳做法 )与Active Directory相同。
从FreeIPA部署build议 :
我们强烈build议您不要使用未授权给您的域名,即使是在专用networking上。 例如,如果您在公共DNS树中没有有效的委派,则不应使用域名company.int 。
如果不遵守此规则,则根据networkingconfiguration,域名将以不同的方式parsing。 结果,networking资源将变得不可用。 使用未授权给您的域名也会使DNSSEC更难以部署和维护。
有关此问题的更多信息,请参阅ICANN关于域名冲突的常见问题解答 。
但是,与Active Directory不同的是,重命名FreeIPA域名是不可能的。
安装后不能更改FreeIPA主域和领域。 仔细计划。 不要期望从实验室/分段环境迁移到生产环境(例如,将
lab.example.com更改为prod.example.com)
在这一点上,你的恢复过程将如下所示:
ipa-client-install --uninstall从域中取消join所有主机。 如果你已经创build了诸如Kerberized NFS,HTTP等域名服务,那么肯定会有更多的步骤。你必须在新域名上重新设置所有这些。
一旦你正确设置了FreeIPA域名,使用你现有域名的子域名,你就可以在该域名中设置NSlogging,这样子域名的DNS就可以通过互联网访问了。 之后,它只是打开相关的防火墙端口的服务,你想在互联网上访问…