Добавление реплики

к настроенному серверу

Исходные данные и план действий

Предположим, что у нас естьИмеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

• сервер может быть настроен:
  Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
  (например, командой astra-freeipa-server -d ipadomain.ru -o
  • с использованием службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition);
  • без использования службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102; 
  • полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя имя администратора сервера FreeIPA admin;

  Добавлять будем реплику сервера FreeIA

  Добавляться будет реплика сервера FreeIPA:

  • с С адресом 10.0.2.103;
  • С с FQDN replica.ipadomain.ru;

  Для этого:добавления реплики будут выполнены следующие действия:

  • устанавливаются необходимые пакеты;
  • будущий сервер реплики вводится в домен как клиент;

  • если служба DogTag не используется, то:

    • на работающем сервере создаются ключ и сертификат для реплики;

    • ключ и сертификат копируются на сервер реплики; 
  • регистрируется реплика
  • Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
  • Регистрируем реплику на основном сервере FreeIPA;Настраиваем реплику
  • настраивается реплика на сервере-реплике;

  Подготовка основного сервера

  На всякий случай, проверяем

  1. Проверить работоспособность FreeIPA, получив

  тикет

  1. билет Kerberos:

     Command
     kinit admin

  Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

  Command
  ipa-ca-install ipa-kra-install

  1. 
     

  2. Зарегистрировать будущую реплику, создав реверсивную запись с её адресом. Для этого:
     

     
     

     1. Войти

  Входим

  1. 1. в WEB-интерфейс FreeIPA:

        Информация
        "Сетевые службы" => "DNS" => "Зоны DNS"

  Проверяем

  1. 1. 
        

     2. Проверить, что

  при

  1. 1. :

        1. При настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

           Image Modified

  А в

  1. 1. 1. 
           

        2. В обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
           
           

           Image Modified
        3. Если записи реверсивной зоны
  и
  1. 1. 1. или реверсивной записи основного сервера FreeIPA нет -
  создаём их
  1. 1. 1. создать запись вручную.
  Далее, в

  1. 1. 1. В реверсивной зоне вручную

  создаем

  1. 1. 1. создать реверсивную запись для сервера репликации:

           • Кнопка "Добавить"
           • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
           • Тип записи "PTR" (реверсивная запись)

           • В поле Hostname указываем имя сервера replica.ipadomain.ru.

             Предупреждение

  Не забываем

  1. 1. 1. • Обязательно ставить точку в конце имени!

             
             

           • Кнопка "Добавить"

           Image Modified

  Также нужно проверить наличие записи A для

  1. 1. 1. Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

           Предупреждение
           Точка в конце имени сервера обязательна.

           
           

           Command
           sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."

           Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена

  , и создать ее при необходимости.
   Иначе при включении

  1. 1. 1. . Если такой записи не будет, то далее при вводе сервера репликации в домен будет

  выдаваться

  1. 1. 1. выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

     2. Если на сервере не используется центр сертификации DogTag, то выпустить сертификат для  используя astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или  XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

  Настройка сервера реплики

  Настраиваем FQDN (

  1. Настроить полное имя сервера (FQDN). Для примера используется имя replica.ipadomain.ru

  )

  1. :

     Command
     hostnamectl set-hostname replica.ipadomain.ru

  Настраиваем

  1. 
     

  2. Настроить разрешение

  имён

  1. имен:

     1. В файле /etc/hosts

        Информация

  10.0.2.102 ipa.ipadomain.ru ipa

  1. 1. 10.0.2.103 replica.ipadomain.ru replica

        
        

        Предупреждение
        Настроить стек IPv6 в соответствии с рекомендациями;

        
        

     2. С помощью графического инструмента NetworkManager

  настраиваем

  1. 1. настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102.

  Перезапускаем компьютер (или перезапускаем

  1. 1. Перезапустить сетевой интерфейс

  )

  1. 1. , чтобы изменения вступили в силу.

  Устанавливаем

  1. Установить инструменты для запуска и настройки:

     Command
     apt install astra-freeipa-server astra-freeipa-client

  Устанавливаем клиента

  1. 
     

  2. Ввести машину в домен FreeIPA, указав имя домена к которому нужно подключаться

  
  

  1. (команда

  ipa-replica-install

  1. инициализации может сама

  установить клиента FreeIPA

  1. ввести машины в домен, однако

  рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки

  1. для упрощения диагностики рекомендуется выполнить ввод отдельно):

     Command
     astra-freeipa-client -d ipadomain.ru

  Устанавливаем

  1. 
     

  2. Инициализировать реплику (

  после запуска команды нужно ввести

  1. потребуется пароль администратора домена):

     1. Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:

        Command
        astra-freeipa-replica --dogtag

        
        

     2. Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

        Command

  ipa-replica-install

  1. 1. astra-freeipa-replica -a replica.p12 --pin 12345678

        где replica.p12 - файл с сертификатом, в 12345678 - пароль (PIN-код) к этому сертификату.

  
  Проверка успеха

  запуска

  инициализации реплики

  Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):

  Command
  kinit adminipa admin ipa hostgroup-show ipaservers

  Примерный ответ команды:

  Информация
  Группа узлов: ipaservers Описание: IPA server hosts Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

  В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

  

  Смоленск: настройка репликации с генерацией ключей

  Стенд состоит из 5 машин:

  Информация
  Имена машин должны быть полными, например: ipacd.test.com

  1. Контролер домена ipacd.test.com с адресом 10.0.0.156
  2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
  3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
  4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
  5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160
  Все адреса должны быть прописаны статично в настройках.
  Пароли для простоты используем 12345678 для всего.
  Перед настройкой и инициализацией серверов необходимо создать сертификаты.

  
  

Удаление реплики

Для удаления реплики:

1. На любой машине в домене, кроме удаляемой:
   1. При использовании web-интерфейса FreeIPA:
      1. С помощью браузера подключиться к WEB-интерфейсу любой реплики, кроме удаляемой.
      2. Авторизоваться в web-интерфейсе от имени администратора домена.
      3. Открыть список серверов:  "IPA-сервер" → "Топология".
      4. Открыть форму с информацией про удаляемый сервер.
      5. Нажать кнопку "Удалить сервер".
      6. Перейти во вкладку "Сетевые службы" → "DNS" → "Зоны DNS" и выбрать прямую зону (её имя совпадает с именем домена). 
      7. Удалить записи, относящиеся к удаленному серверу.
   2. При использовании командной строки:
      1. Получить билет Kerberos администратора домена.

      2. Удалить реплику:

         Command
         ipa server-del <имя_сервера_реплики>

         
         

      3. Удалить записи DNS в прямой зоне:

         Command
         ipa dnsrecord-del <имя_домена> <короткое_имя_сервера> --del-all

         где <короткое_имя_сервера> — имя удаляемого сервера без доменной составляющей.

2. На удаляемой машине:
   1. Рекомендованным вариантом является переустановка операционной системы (откат снимка LVM, если он был сделан).
   2. При невозможности применения рекомендованного варианта:
      1. Выполнить команду:
         sudo astra-freeipa-server -U
      2. Подтвердить выполнение команды.

      3. Удалить ненужные пакеты, например:

         Command
         sudo apt purge astra-freeipa-server astra-freeipa-client sssd krb5-kdc krb5-pkinit apache2 bind9 --autoremove

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

• Сертификат ipacd.test.com.p12 для КД ipacd.test.com
• Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
• Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

Установить пакет:

Инициализация сервера:

Проверить состояние сервисов:

 Получить билет:

В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

Настройка клиента

Установить пакет:

На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

Проверить, что домен доступен с клиентской машины:

Инициализировать клиента командой

Проверка

Получить билет на клиентской машине:

Проверка на клиентской машине:

Настройка репликации

На машинах-репликах установить и инициализировать клиенты.
Доустановить пакеты для сервера.


Получить билет:

Command
kinit admin

Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

Информация
10.0.0.156 ipacd.test.com ipacd

Запустить репликацию:

Commandipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse

1. 1. 1.