Орёл: добавляем репликацию к настроенному серверу
Исходные данные и план действий
Предположим, что у нас есть настроенный и работающий сервер FreeIPA:
- Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
(например, командой astra-freeipa-server -d ipadomain.ru -o); - IP-адрес сервера 10.0.2.102;
- FQDN сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавлять будем реплику сервера FreeIA
- С адресом 10.0.2.103;
- С FQDN replica.ipadomain.ru;
Для этого:
- Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
- Регистрируем реплику на основном сервере FreeIPA;
- Настраиваем реплику;
Подготовка основного сервера
На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:
Информацияcommand |
---|
kinit admin |
Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
Информацияcommand |
---|
ipa-ca-install |
Входим в WEB-интерфейс FreeIPA
Информация |
---|
"Сетевые службы" => "DNS" => "Зоны DNS" |
Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную
Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:
- Кнопка "Добавить"
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Предупреждение Не забываем ставить точку в конце имени! - Кнопка "Добавить"
Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.
Настройка сервера реплики
- Настраиваем FQDN (имя replica.ipadomain.ru):
Информацияcommand |
---|
hostnamectl set-hostname replica.ipadomain.ru |
- Настраиваем разрешение имён:
- В файле /etc/hosts
Информация |
---|
10.0.2.102 ipa.ipadomain.ru ipa |
- С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
- Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
- Устанавливаем инструменты для запуска и настройки:
Информацияcommand |
---|
apt install astra-freeipa-server astra-freeipa-client |
- Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
(команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
Информацияcommand |
---|
astra-freeipa-client -d ipadomain.ru |
- Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):
Информацияcommand |
---|
ipa-replica-install |
Проверка успеха запуска
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):
Информацияcommand |
---|
kinit adminipa hostgroup-show ipaservers |
Примерный ответ команды:
Информация |
---|
Группа узлов: ipaservers |
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):
Смоленск: настройка репликации с генерацией ключей
Стенд
состоит
из
5
машин:
Информация |
---|
Имена |
машин |
должны |
быть |
полными, |
например: |
ipacd.test.com |
- Контролер
- домена
- ipacd.test.com
- с
- адресом
- 10.0.0.156
- Сервер-реплика1
- ipaserv1.test.com
- с
- адресом
- 10.0.0.157
- Сервер-реплика2
- ipaserv2.test.com
- с
- адресом
- 10.0.0.158
- Клиент
- для
- настройки
- сервисов(apache2,
- postgresql,
- mail,
- печать)
- ipasrv.test.com
- с
- адресом
- 10.0.0.159
- Клиентская
- машина
- ipaclient.test.com
- с
- адресом
- 10.0.0.160
Все
адреса
должны
быть
прописаны
статично
в
настройках.
Пароли
для
простоты
используем
12345678
для
всего.
Перед
настройкой
и
инициализацией
серверов
необходимо
создать
сертификаты.
См. также Создание сертификатов для FreeIPA с помощью XCA
Создать
сертификаты
на
КД
для
всех
машин,
которые
буду
реплицироваться,
и
переписать
их
на
соответствующие
машины(Сертификаты
создавать
от
обычного
пользователя,
не
от
root!)
- Сертификат
- ipacd.test.com.p12
- для
- КД
- ipacd.test.com
- Сертификат
- ipaserv1.test.com.p12
- для
- ipaserv1.test.com
- Сертификат
- ipaserv2.test.com.p12
- для
- ipaserv2.test.com
Настройка
КД:
1.Установить
пакет:
Command sudo apt install astra-freeipa-server
Инициализация
сервера:
Информация sudo astra-freeipa-server
-l
/home/u/ipacd.test.com.p12
-lp
12345678
-d
test.com
-o
-c
Где:
-l
-путь
к
сертификату,
-lp
-
пароль
к
сертификату,
-o
-для
локальной
сети
используется
изолированная
среда,
-c
-
не
править
файл
hosts
При
запросе,
пароль
пользователя admin задаем
12345678
Проверить
состояние
сервисов:
Command sudo ipactl
status
все
статусы
должны быть RUNNING
Получить билет:
Command kinit
admin В браузере войти в web-интерфейс
с
адресом,
выданным
при
установке
сервера:
Информация https://ipacd.test.com
логин:
admin
пароль:
12345678
Настройка
клиента
1. Установить пакеты :Установить пакет:
Command astra-freeipa-client
На
клиенте
в
/etc/network/interfaces
добавить
строчку
с
адресом сервера FreeIPA:
dns-nameservers
10.0.0.156
(адрес
сервера
ипы)
в
файле /etc/resolv.conf
должно
быть:
Информация domain
test.com
search
test.com
nameserver
10.0.0.156
(адрес
КД
freeipa)
где 10.0.0.156 - адрес сервера FreeIPA
Проверить, что домен доступен с клиентской машины:
Command ping
ipacd.test.com
Инициализировать клиента командой
Command
astra-freeipa-client
-d
test.com
пароль:
12345678
Проверка
Получить билет на клиентской машине:
Command kinit admin Проверка на клиентской машине:
Command ipa host-find На КД в веб-форме,
в
закладке
Узлы
должна
появиться
клиентская
машина
Настройка репликации
Репликация- На
- машинах-репликах установить и инициализировать клиенты.
- Доустановить пакеты для сервера.
Получить билет:
Command kinit admin Реплика берет данные из /etc/hosts:
добавить
строчку
для
разрешения имени сервера
ipa:
Информация 10.0.0.156
ipacd.test.com
ipacd Запустить репликацию:
Command ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse