从互联网访问FreeIPA if dc=domain，dc=local (freeipa.domain.local)

Question

我安装了FreeIPA，这是我的etc/ipa/default.conf文件

[global]
host = freeipa.domain.local
basedn = dc=domain,dc=local
realm = domain.LOCAL
domain = domain.local
xmlrpc_uri = https://freeipa.domain.local/ipa/xml
ldap_uri = ldapi://%2fvar%2frun%2fslapd-DOMAIN-LOCAL.socket

问题是:如果我需要从互联网上访问FreeIPA，我现在要做什么呢？！例如，我需要设置LDAP客户端。他使用的域名并不存在于互联网上，也无法远程查找。

URI ldaps://freeipa.domain.local
BASE dc=domain,dc=local

有什么建议或者最好的解决方案吗？

Answer 1

您的域有一个严重且无法恢复的错误:您使用了以.local结尾的不存在的域名作为域名。您应该对域名进行never使用.local，其原因(以及最佳做法)与Active的原因大致相同。

来自FreeIPA部署建议：

我们强烈建议您不要使用未委托给您的域名，即使在专用网络上也是如此。例如，如果在公共DNS树中没有有效的授权，则不应该使用域名company.int。如果不遵守此规则，则将根据网络配置以不同方式解析域名。因此，网络资源将变得不可用。使用未委派给您的域名也会使DNSSEC更难部署和维护。有关此问题的更多信息，请参见关于域名碰撞的ICANN常见问题。

但是，与不同，无法重命名FreeIPA域。

安装后不可能更改FreeIPA主域和域。仔细计划。不要期望从实验室/阶段环境迁移到生产环境(例如，将lab.example.com更改为prod.example.com)

此时，您的恢复过程将如下所示：

1. 用ipa-client-install --uninstall从域卸载所有主机。
2. 销毁FreeIPA域控制器。
3. 使用正确选择的域名重新安装FreeIPA域控制器。
4. 将所有主机重新连接到新域。

如果您已经创建了诸如kerberized、HTTP等域服务，那么肯定会有更多的步骤。您必须在新域上重新设置所有这些。

一旦您正确地设置了FreeIPA域，使用现有域名的子域，您就可以在该域中设置NS记录，以便可以从因特网访问子域的DNS。在那之后，它只是为你想要在互联网上访问的服务打开相关的防火墙端口。