Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Оглавление



Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12



Предупреждение

При выполнении

приведённых

приведенных ниже инструкций на виртуальных машинах

выделите

рекомендуется выделить машинам достаточное количество ресурсов:

  • не менее
3-х процессоровне менее 2ГБ ОЗУ
  • 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов

ведёт

ведет к сложно диагностируемым случайным ошибкам.

Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Минск 7.6 (не является сертифицированным СЗИ)


Предупреждение
titleВажно!

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.


Добавление реплики

Добавляем репликацию

к настроенному серверу

Исходные данные и план действий

Предположим, что у нас естьИмеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Сервер сервер может быть установлен сразу с одновременной установкой настроен:
    • с использованием службы сертификатов
    Dogtag
    • DogTag (ситуация, характерная для
    ОС ОН Орёл), или установлен без
    • Astra Linux Common Edition);
    • без использования службы DogTag (ситуация, характерная для
    ОС СН
    • Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102; 
  • полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

Добавляться будет реплика сервера FreeIPA:

  • с С адресом 10.0.2.103;
  • С с FQDN replica.ipadomain.ru;

Для этого добавления реплики будут выполнены следующие действия:

  • устанавливаются необходимые пакеты;
  • будущий сервер реплики вводится в домен как клиент;
  • если служба DogTag не используется, то:

    • на работающем сервере создаются ключ и сертификат для реплики;

    • ключ и сертификат копируются на сервер реплики; 
  • регистрируется реплика

    Если сервер был установлен без службы DogTag, то для ОС СН Орёл устанавливаем и включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

    Предупреждение

    Для ОС СН Смоленск/ОС СН Минск решениео возможности использования слудбы DogTag должно основываться на общей политике безопасности, см. Включение службу инфраструктуры открытых ключей DogTag на ОС СН Смоленск

    Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA

    Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику настраивается реплика на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем
  1. Проверить работоспособность FreeIPA, получив

тикет
  1. билет Kerberos:

    Command
    kinit admin

Если на сервере ОС ОН Орёл ранее не был установлен центр сертификации DogTag, то добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Command

ipa-ca-install
ipa-kra-install

Для ОС СН Смоленск/ОС СН Минск либо устанавиваем DogTag по инструкции для ОС СН, либо далее используем выпуск сертификатов с помощью XCA.

Входим

  1. Зарегистрировать будущую реплику, создав реверсивную запись с её адресом. Для этого:


    1. Войти в WEB-интерфейс FreeIPA:

      Информация
      "Сетевые службы" => "DNS" => "Зоны DNS"
Проверяем

    1. Проверить, что

при
    1. :

      1. При настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

        Image Modified

А в

      1. В обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

        Image Modified
      2. Если записи реверсивной зоны
и
      1. или реверсивной записи основного сервера FreeIPA нет -
создаём их
      1. создать запись вручную.
Далее, в
      1. В реверсивной зоне вручную

создаем
      1. создать реверсивную запись для сервера репликации:

        • Кнопка "Добавить"
        • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
        • Тип записи "PTR" (реверсивная запись)
        • В поле Hostname указываем имя сервера replica.ipadomain.ru.

          Предупреждение
Не забываем
        • Обязательно ставить точку в конце имени!


        • Кнопка "Добавить"

        Image Modified

        Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

        Предупреждение
        Точка в конце имени сервера обязательна.


        Command
        sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."
Предупреждение
Тоже не забываем ставить точку в конце имени!
Также нужно проверить наличие записи A для
      1. Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена

, и создать ее при необходимости.
 Иначе при включении
      1. . Если такой записи не будет, то далее при вводе сервера репликации в домен будет

выдаваться
      1. выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

    1. Если на сервере не используется центр сертификации DogTag, то выпустить сертификат для  используя astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или  XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

Настройка сервера реплики

  1. Настроить

FQDN (
  1. полное имя сервера (FQDN). Для примера используется имя replica.ipadomain.ru

)
  1. :

    Command
    hostnamectl set-hostname replica.ipadomain.ru
Настраиваем

  1. Настроить разрешение

имён
  1. имен:

    1. В файле /etc/hosts

      Информация

      10.0.2.103 replica.ipadomain.ru replica


      Предупреждение
      Настроить стек IPv6 в соответствии с рекомендациями;


    2. С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102

;
    1. .

    2. Перезапустить

компьютер (или перезапустить
    1. сетевой интерфейс

)
    1. , чтобы изменения вступили в силу

;
    1. .

  1. Установить инструменты для запуска и настройки:

    Command
    apt install astra-freeipa-server astra-freeipa-client
Установить клиента

  1. Ввести машину в домен FreeIPA, указав имя домена к которому нужно подключаться


  1. (команда

ipa-replica-install
  1. инициализации может сама

установить клиента FreeIPA
  1. ввести машины в домен, однако

рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки
  1. для упрощения диагностики рекомендуется выполнить ввод отдельно):

    Command
    astra-freeipa-client -d ipadomain.ru
Установить

  1. Инициализировать реплику (

после запуска команды нужно ввести
  1. потребуется пароль администратора домена):

    1. Для

ОС ОН Орёл
    1. Astra Linux Common Edition и для

ОС СН
    1. Astra Linux Special Edition с установленной службой DogTag:

      Command
ipa
    1. astra-freeipa-replica --
install
    1. dogtag


    2. Для

ОС СН Смоленск или ОС СН Минск
    1. Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

      Command
      astra-freeipa-replica -a replica.p12 --pin 12345678

      где replica.p12 - файл с сертификатом, в 12345678 - пароль (

пин
    1. PIN-код) к этому сертификату.


Проверка успеха

запуска

инициализации реплики

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):

Command

kinit adminipa admin
ipa hostgroup-show ipaservers

Примерный ответ команды:

Информация

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):


Удаление реплики

Для удаления реплики:

  1. На любой машине в домене, кроме удаляемой:
    1. При использовании web-интерфейса FreeIPA:
      1. С помощью браузера подключиться к WEB-интерфейсу любой реплики, кроме удаляемой.
      2. Авторизоваться в web-интерфейсе от имени администратора домена.
      3. Открыть список серверов:  "IPA-сервер" → "Топология".
      4. Открыть форму с информацией про удаляемый сервер.
      5. Нажать кнопку "Удалить сервер".
      6. Перейти во вкладку "Сетевые службы" → "DNS" → "Зоны DNS" и выбрать прямую зону (её имя совпадает с именем домена). 
      7. Удалить записи, относящиеся к удаленному серверу.
    2. При использовании командной строки:
      1. Получить билет Kerberos администратора домена.
      2. Удалить реплику:

        Command
        ipa server-del <имя_сервера_реплики>


      3. Удалить записи DNS в прямой зоне:

        Command
        ipa dnsrecord-del <имя_домена> <короткое_имя_сервера> --del-all

        где <короткое_имя_сервера> — имя удаляемого сервера без доменной составляющей.

  2. На удаляемой машине:
    1. Рекомендованным вариантом является переустановка операционной системы (откат снимка LVM, если он был сделан).
    2. При невозможности применения рекомендованного варианта:
      1. Выполнить команду:
        sudo astra-freeipa-server -U
      2. Подтвердить выполнение команды.
      3. Удалить ненужные пакеты, например:

        Command
        sudo apt purge astra-freeipa-server astra-freeipa-client sssd krb5-kdc krb5-pkinit apache2 bind9 --autoremove