Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents



Info
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп.2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12



Warning

При выполнении приведённых ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:

  • не менее 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.


Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIPA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого будут выполнены следующие действия:

  • Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition установить и включить на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

    Warning

    Для Astra Linux Spaecial Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. Включение службы инфраструктуры открытых ключей DogTag на ОС СН Смоленск

    Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA


  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:

Command
kinit admin

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Command

ipa-ca-install
ipa-kra-install

В Astra Linux Special Edition либо устанавливить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

Info
"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Warning
    Не забываем ставить точку в конце имени!


  • Кнопка "Добавить"


Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Command
sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."


Warning
Тоже не забываем ставить точку в конце имени!


Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при ввводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически.

Настройка сервера реплики

  • Настроить FQDN (имя replica.ipadomain.ru):
Command
hostnamectl set-hostname replica.ipadomain.ru
  • Настраиваем разрешение имён:
    • В файле /etc/hosts
Info

10.0.2.103 replica.ipadomain.ru replica


  • Warning
    Настроить стек IPv6 в соответствии с рекомендациями;


  • С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
  • Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
  • Установить инструменты для запуска и настройки:
Command
apt install astra-freeipa-server astra-freeipa-client
  • Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
Command
astra-freeipa-client -d ipadomain.ru
  • Установить реплику (после запуска команды нужно ввести пароль администратора домена):
    • Для ОС ОН Орёл Astra Linux Common Edition и для ОС СН Astra Linux Special Edition с установленной службой DogTag:

      Command
      astra-freeipa-replica --dogtag


    • Для ОС СН Смоленск или ОС СН Ленинград Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

      Command
      astra-freeipa-replica -a replica.p12 --pin 12345678

      где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.


Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

Command

kinit admin
ipa hostgroup-show ipaservers

Примерный ответ команды:

Info

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):