Оглавление |
---|
...
Информация | ||
---|---|---|
| ||
|
Предупреждение |
---|
При |
...
выполнении приведённых ниже инструкций на виртуальных машинах |
...
рекомендуется выделить машинам достаточное количество ресурсов:
|
...
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам. |
Добавляем репликацию к настроенному серверу
Исходные данные и план действий
Предположим, что
...
имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
...
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавлять будем реплику сервера FreeIA
Добавляться будет реплика сервера FreeIPA
- С
...
- адресом 10.0.2.103;
- С FQDN replica.ipadomain.ru;
Для этого
...
будут выполнены следующие действия:
Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition, устанавливается и включается на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag
...
.
Предупреждение Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA
- Регистрируется реплика на основном сервере FreeIPA;
...
- Настраивается реплика на сервере-реплике;
Подготовка основного сервера
На всякий случай,
...
проверить работоспособность FreeIPA, получив
...
билет Kerberos:
...
Command |
---|
kinit admin |
...
Если на сервере ранее не был установлен центр сертификации DogTag, то:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
...
Command |
---|
ipa-ca-install |
В Astra Linux Special Edition либо установить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.
Входим в WEB-интерфейс FreeIPA
Информация |
---|
"Сетевые службы" => "DNS" => "Зоны DNS" |
Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную
...
Далее, в реверсивной зоне
...
вручную создать реверсивную запись для сервера репликации:
- Кнопка "Добавить"
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Предупреждение Не забываем ставить точку в конце имени! - Кнопка "Добавить"
...
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Command |
---|
sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru." |
Предупреждение |
---|
Тоже не забываем ставить точку в конце имени! |
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена
...
. Если такой записи не будет, то далее при вводе сервера репликации в домен будет
...
выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настройка сервера реплики
...
Настроить FQDN (имя replica.ipadomain.ru):
...
Command hostnamectl set-hostname replica.ipadomain.ru
...
- Настроить разрешение имён:
В файле /etc/hosts
Информация 10.0.2.
...
103 replica.ipadomain.ru replica
Предупреждение Настроить стек IPv6 в соответствии с рекомендациями;
- С помощью графического инструмента NetworkManager
...
- настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
...
- Перезапустить компьютер (или
...
- перезапустить сетевой интерфейс), чтобы изменения вступили в силу
...
- ;
...
Установить инструменты для запуска и настройки:
...
Command apt install astra-freeipa-server astra-freeipa-client
...
Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
...
(команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):Command astra-freeipa-client -d ipadomain.ru
...
- Установить реплику (после запуска команды нужно ввести пароль администратора домена):
...
Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:
Command astra-freeipa-replica --dogtag Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
Command astra-freeipa-replica -a replica.p12 --pin 12345678 где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.
Проверка успеха запуска
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить билет Kerberos):
...
Command |
---|
kinit admin |
Примерный ответ команды:
Информация |
---|
Группа узлов: ipaservers |
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):
...
Смоленск: настройка репликации с генерацией ключей
...
См. также Создание сертификатов для FreeIPA с помощью XCA
Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)
Сертификат ipacd.test.com.p12 для КД ipacd.test.com
Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com
...
2. На клиенте в /etc/network/interfaces добавить строчку с адресом днс КД:
dns-nameservers 10.0.0.156 (адрес сервера ипы)
в /etc/resolv.conf должно быть:
domain test.com
search test.com
nameserver 10.0.0.156 (адрес КД freeipa)
С клиентской машины домен должен пинговаться: ping ipacd.test.com
3. Инициализация клиента
astra-freeipa-client -d test.com
пароль: 12345678
4. kinit admin
Проверка на клиентской машине: ipa host-find
На КД в веб-форме, в закладке Узлы должна появиться клиентская машина
Репликация
На реплицируемых машинах сначала инициализируем клиенты.
Потом доустанавливаем пакеты для сервера
kinit admin
Реплика берет данные из /etc/hosts:
добавить строчку для резолва сервера ipa:
10.0.0.156 ipacd.test.com ipacd
Запускаем репликацию:
...