Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

• Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
• IP-адрес сервера 10.0.2.102; 
• FQDN сервера ipa.ipadomain.ru;
• Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера

FreeIPA

• С адресом 10.0.2.103;
• С FQDN replica.ipadomain.ru;

Для этого

будут выполнены следующие действия:

• Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition установить и включить на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag

• .

  Предупреждение
  Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см.FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition. Установка сервера-реплики. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA

  
  

• Регистрируем реплику на основном сервере FreeIPA;
• Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай,

проверить работоспособность FreeIPA, получив

билет Kerberos:

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В Astra Linux Common Edition добавить

сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

В Astra Linux Special Edition либо устанавливить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

Image Modified

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Image Modified

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

• Кнопка "Добавить"
• Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
• Тип записи "PTR" (реверсивная запись)

• В поле Hostname указываем имя сервера replica.ipadomain.ru.

  Предупреждение
  Не забываем ставить точку в конце имени!

  
  

• Кнопка "Добавить"

Image Modified

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена

. Если такой записи не будет, то далее при ввводе сервера репликации в домен будет

выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически.

Настройка сервера реплики

• Настроить FQDN (имя replica.ipadomain.ru):

• Настраиваем разрешение имён:
  • В файле /etc/hosts

• 
  

  Предупреждение
  Настроить стек IPv6 в соответствии с рекомендациями;

  
  

• С помощью графического инструмента NetworkManager

• настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;

• Перезапустить компьютер (или

• перезапустить сетевой интерфейс), чтобы изменения вступили в силу

• ;

• Установить инструменты для запуска и настройки:

• Установить клиента FreeIPA, указав имя домена к которому нужно подключаться

• 
  (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

• Установить реплику (после запуска команды нужно ввести пароль администратора домена):

• • Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:

    Command
    astra-freeipa-replica --dogtag

    
    

  • Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

    Command
    astra-freeipa-replica -a replica.p12 --pin 12345678

    где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

Примерный ответ команды:

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Image Modified