Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Предупреждение |
---|
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам. |
Предупреждение | ||
---|---|---|
| ||
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
|
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер сервер может быть установлен сразу с одновременной установкой настроен:
- с использованием службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition)
- ;
- без использования службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA:
- С с адресом 10.0.2.103;
- С с FQDN replica.ipadomain.ru;
Для добавления реплики будут выполнены следующие действия:
- устанавливаются необходимые пакеты;
- будущий сервер реплики вводится в домен как клиент;
если служба DogTag не используется, то:
на работающем сервере создаются ключ и сертификат для реплики;
- ключ и сертификат копируются на сервер реплики;
- регистрируется
Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Регистрируется реплика на основном сервере FreeIPA;Предупреждение Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или XCA: графический инструмент для работы с сертификатами и ключевыми носителями.
- Настраивается настраивается реплика на сервере-реплике;
Подготовка основного сервера
На всякий случай, проверитьПроверить работоспособность FreeIPA, получив билет Kerberos:
Command kinit admin
Если на сервере ранее не был установлен центр сертификации DogTag, то:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
Command |
---|
ipa-ca-install |
- Зарегистрировать будущую реплику, создав реверсивную запись с её адресом. Для этого:
Войти в WEB-интерфейс FreeIPA:
Информация "Сетевые службы" => "DNS" => "Зоны DNS" Проверить, что
:
При настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
В обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
- Если записи реверсивной зоны
- или реверсивной записи основного сервера FreeIPA нет - создать
- запись вручную.
В реверсивной зоне вручную создать реверсивную запись для сервера репликации:
- Кнопка "Добавить"
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Предупреждение Обязательно ставить точку в конце имени! - Кнопка "Добавить"
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Предупреждение Точка в конце имени сервера обязательна. Command sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
- Если на сервере не используется центр сертификации DogTag, то выпустить сертификат для используя astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или XCA: графический инструмент для работы с сертификатами и ключевыми носителями.
Настройка сервера реплики
Настроить
полное имя сервера (FQDN). Для примера используется имя replica.ipadomain.ru
:
Command hostnamectl set-hostname replica.ipadomain.ru Настроить разрешение имен:
В файле /etc/hosts
Информация 10.0.2.103 replica.ipadomain.ru replica
Предупреждение Настроить стек IPv6 в соответствии с рекомендациями; С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
.
Перезапустить
сетевой интерфейс
, чтобы изменения вступили в силу
.
Установить инструменты для запуска и настройки:
Command apt install astra-freeipa-server astra-freeipa-client
Ввести машину в домен FreeIPA, указав имя домена к которому нужно подключаться
(команда
инициализации может сама
ввести машины в домен, однако
для упрощения диагностики рекомендуется выполнить ввод отдельно):
Command astra-freeipa-client -d ipadomain.ru
Инициализировать реплику (
потребуется пароль администратора домена):
Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:
Command astra-freeipa-replica --dogtag Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
Command astra-freeipa-replica -a replica.p12 --pin 12345678 где replica.p12 - файл с сертификатом, в 12345678 - пароль (
PIN-код) к этому сертификату.
Проверка успеха запуска
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить билет Kerberos):
Command |
---|
kinit admin |
Примерный ответ команды:
Информация |
---|
Группа узлов: ipaservers |
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):
...