Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление



Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12



Предупреждение

При выполнении

приведённых

приведенных ниже инструкций на виртуальных машинах

выделите

рекомендуется выделить машинам достаточное количество ресурсов:

  • не менее
3-х процессоровне менее 2ГБ ОЗУ
  • 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов

ведёт

ведет к сложно диагностируемым случайным ошибкам.

Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6


Предупреждение
titleВажно!

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.


Добавление репликации

Орёл: добавляем репликацию

к настроенному серверу

Исходные данные и план действий

Предположим, что у нас естьИмеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
    (например, командой astra-freeipa-server -d ipadomain.ru -oСервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102; 
  • Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIAДобавляться будет реплика сервера FreeIPA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого:добавления реплики будут выполнены следующие действия:

  • Если сервер был установлен без службы DogTag, то устанавливается и включается

    Включаем

    на основном сервере FreeIPA

    службу

    служба инфраструктуры открытых ключей

    DogTag

    DogTag.

    Предупреждение

    Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA  или графический инструмент XCA.


  • Регистрируется реплика ;Регистрируем реплику на основном сервере FreeIPA;Настраиваем реплику
  • Настраивается реплика на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем проверить работоспособность FreeIPA, получив тикет билет Kerberos:

Command
kinit admin

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В Astra Linux Common Edition добавить Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Command

ipa-ca-install
ipa-kra-install

В Astra Linux Special Edition либо установить DogTag по инструкции для Astra Linux Special Edition, либо далее вместо Dogtag использовать astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или  XCA.

Войти Входим в WEB-интерфейс FreeIPA:

Информация
"Сетевые службы" => "DNS" => "Зоны DNS"

ПроверяемПроверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём создать их вручную

Далее, в реверсивной зоне вручную создаем создать реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Предупреждение
    Не забываем Обязательно ставить точку в конце имени!


  • Кнопка "Добавить"

Также нужно проверить наличие записи A для


Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Command
sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."


Предупреждение
Тоже не забываем ставить точку в конце имени!

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена

, и создать ее при необходимости.
 Иначе при включении

. Если такой записи не будет, то далее при вводе сервера репликации в домен будет

выдаваться

выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

Настройка сервера реплики

  • Настраиваем

    Настроить FQDN (имя replica.ipadomain.ru):

    Command
    hostnamectl set-hostname replica.ipadomain.ru


  • Настраиваем Настроить разрешение имёнимен:
    • В файле /etc/hosts

      Информация
10.0.2.102 ipa.ipadomain.ru ipa
    • 10.0.2.103 replica.ipadomain.ru replica


      Предупреждение
      Настроить стек IPv6 в соответствии с рекомендациями;


  • С помощью графического инструмента NetworkManager настраиваем настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
  • Перезапускаем Перезапустить компьютер (или перезапускаем перезапустить сетевой интерфейс), чтобы изменения вступили в силу.;
  • Устанавливаем

    Установить инструменты для запуска и настройки:

    Command
    apt install astra-freeipa-server astra-freeipa-client


  • Устанавливаем

    Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

    Command
    astra-freeipa-client -d ipadomain.ru


  • Устанавливаем Установить реплику (после запуска команды нужно ввести пароль администратора домена):
      Commandipa-replica-install
        • Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:

          Command
          astra-freeipa-replica --dogtag


        • Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

          Command
          astra-freeipa-replica -a replica.p12 --pin 12345678

          где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.


      Проверка успеха запуска

      Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):

      Command

      kinit adminipa admin
      ipa hostgroup-show ipaservers

      Примерный ответ команды:

      Информация

      Группа узлов: ipaservers
      Описание: IPA server hosts
      Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

      В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

      Смоленск: настройка репликации с генерацией ключей

      Стенд состоит из 5 машин:

      Информация
      Имена машин должны быть полными, например: ipacd.test.com
      1. Контролер домена ipacd.test.com с адресом 10.0.0.156
      2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
      3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
      4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
      5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160
      Все адреса должны быть прописаны статично в настройках.
      Пароли для простоты используем 12345678 для всего.
      Перед настройкой и инициализацией серверов необходимо создать сертификаты.

      См. также Создание сертификатов для FreeIPA с помощью XCA

      Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

      • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
      • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
      • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

      Настройка КД:

      Установить пакет:

      Command
      sudo apt install astra-freeipa-server

      Инициализация сервера:

      Информация
      sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c
      Где:
      -l -путь к сертификату,
      -lp - пароль к сертификату,
      -o -для локальной сети используется изолированная среда,
      -c - не править файл hosts
      При запросе, пароль пользователя admin задаем 12345678

      Проверить состояние сервисов:

      Command
      sudo ipactl status
        все статусы должны быть RUNNING

       Получить билет:

      Command
      kinit admin

      В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

      Информация
      https://ipacd.test.com
      логин: admin
      пароль: 12345678

      Настройка клиента

      Установить пакет:

      Command
      astra-freeipa-client

      На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
      dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

      Информация
      domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)
      где 10.0.0.156 - адрес сервера FreeIPA

      Проверить, что домен доступен с клиентской машины:

      Command
      ping ipacd.test.com

      Инициализировать клиента командой

      Command
      astra-freeipa-client -d test.com
      пароль: 12345678

      Проверка

      Получить билет на клиентской машине:

      Command
      kinit admin

      Проверка на клиентской машине:

      Command
      ipa host-find
    • На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

    • Настройка репликации

      На машинах-репликах установить и инициализировать клиенты.
      Доустановить пакеты для сервера.

      Получить билет:

      Command
      kinit admin

      Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

      Информация
      10.0.0.156 ipacd.test.com ipacd

      Запустить репликацию:

      Commandipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse