ВведениеLink to Введение

Данная инструкция описывает процедуру получения билетов с контроллера домена FreeIPA для настройки отказоустойчивого Front-end.

Настройка прав на билетыLink to Настройка прав на билеты

Зарегистрировать в домене псевдо-узел <floating-name>, связанный с плавающим ip-адресом.

  1. На одном из контроллеров домена FreeIPA выполнить:

    kinit admin
ipa host-add <floating-name>.<domain> --ip-address=<floating-ip>
    CODE

  2. Настроить права:

    ipa service-add HTTP/<floating-name>.<domain>

ipa service-allow-create-keytab HTTP/<floating-name>.<domain> --hosts={<floating-name>.<domain>,<front-1-hostname>.<domain>,<front-2-hostname>.<domain>,<front-N-hostname>.<domain>}

ipa service-allow-retrieve-keytab HTTP/<floating-name>.<domain> --hosts={<floating-name>.<domain>,<front-1-hostname>.<domain>,<front-2-hostname>.<domain>,<front-N-hostname>.<domain>}
 
ipa service-allow-create-keytab HTTP/<floating-name>.<domain> --groups=admins
ipa service-allow-retrieve-keytab HTTP/<floating-name>.<domain> --groups=admins
    CODE

Получение билетовLink to Получение билетов

Получить необходимые билеты.

Для первого и последующего настраиваемых узлов команды отличаются параметрами!


Следующий блок команд с указанными параметрами выполняется только на Первом узле!

kinit -kt /etc/krb5.keytab
ipa-getkeytab -s <dc-1-hostname>.<domain> -p HTTP/<floating-name>.<domain> -k /etc/apache2/apache2.<floating-name>.keytab
ipa-getkeytab -s <dc-1-hostname>.<domain> -p HTTP/<front-1-hostname>.<domain> -k /etc/apache2/apache2.<front-1-hostname>.keytab
CODE

Следующий блок команд выполнять только на Втором и последующих узлах! Обратить внимание на присутствие ключа -r!

kinit -kt /etc/krb5.keytab
ipa-getkeytab -r -s <dc-1-hostname>.<domain> -p HTTP/<floating-name>.<domain> -k /etc/apache2/apache2.<floating-name>.keytab
ipa-getkeytab -s <dc-1-hostname>.<domain> -p HTTP/<front-N-hostname>.<domain> -k /etc/apache2/apache2.<front-N-hostname>.keytab
CODE

где <front-N-hostname> — имя очередного узла.

Необходимые билеты получены и сохранены в локальных файлах.


Важно

После выполнения данной инструкции вернитесь на предыдущую статью.