Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас естьимеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

• Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
  (например, командой astra-freeipa-server -d ipadomain.ru -oСервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
• IP-адрес сервера 10.0.2.102; 
• Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
• Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIAДобавляться будет реплика сервера FreeIPA

• С адресом 10.0.2.103;
• С FQDN replica.ipadomain.ru;

Для этого :будут выполнены следующие действия:

• Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition, устанавливается и включается

  Включаем

  на основном сервере FreeIPA службу инфраструктуры открытых ключей

  DogTag

  DogTag.

  Предупреждение
  Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA

  
  

• Регистрируется реплика ;Регистрируем реплику на основном сервере FreeIPA;Настраиваем реплику
• Настраивается реплика на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем проверить работоспособность FreeIPA, получив тикет билет Kerberos:

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В Astra Linux Common Edition добавить Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

В Astra Linux Special Edition либо установить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем создать реверсивную запись для сервера репликации:

• Кнопка "Добавить"
• Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
• Тип записи "PTR" (реверсивная запись)

• В поле Hostname указываем имя сервера replica.ipadomain.ru.

  Предупреждение
  Не забываем ставить точку в конце имени!

  
  

• Кнопка "Добавить"

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении . Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдаваться выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

Настройка сервера реплики

• Настраиваем

  Настроить FQDN (имя replica.ipadomain.ru):

  Command
  hostnamectl set-hostname replica.ipadomain.ru

  
  

• Настраиваем Настроить разрешение имён:

  • В файле /etc/hosts

    Информация
    10.0.2

• • .

• • 103 replica.ipadomain.ru replica

    
    

    Предупреждение
    Настроить стек IPv6 в соответствии с рекомендациями;

    
    

• С помощью графического инструмента NetworkManager настраиваем настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
• Перезапускаем Перезапустить компьютер (или перезапускаем перезапустить сетевой интерфейс), чтобы изменения вступили в силу.;
• Устанавливаем

  Установить инструменты для запуска и настройки:

  Command
  apt install astra-freeipa-server astra-freeipa-client

  
  

• Устанавливаем

  Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
  (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

  Command
  astra-freeipa-client -d ipadomain.ru

  
  

• Устанавливаем Установить реплику (после запуска команды нужно ввести пароль администратора домена):

  • Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:

    Command
    astra-freeipa-replica --dogtag

    
    

  • Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

    Command

• • astra-freeipa-replica -

• • a replica.p12 --pin 12345678

    где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):

Примерный ответ команды:

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд состоит из 5 машин:

1. Контролер домена ipacd.test.com с адресом 10.0.0.156
2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

• Сертификат ipacd.test.com.p12 для КД ipacd.test.com
• Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
• Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

Установить пакет:

Инициализация сервера:

Проверить состояние сервисов:

 Получить билет:

В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

Настройка клиента

Установить пакет:

На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

Проверить, что домен доступен с клиентской машины:

Инициализировать клиента командой

Проверка

Получить билет на клиентской машине:

Проверка на клиентской машине:

Настройка репликации

Получить билет:

Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

Запустить репликацию: