Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Предупреждение |
---|
При выполнении |
приведенных ниже инструкций на виртуальных машинах |
рекомендуется выделить машинам достаточное количество ресурсов:
|
Недостаток ресурсов |
ведет к сложно диагностируемым случайным ошибкам. |
Информация |
---|
Данная статья применима к:
|
Предупреждение | ||
---|---|---|
| ||
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
|
Добавление реплики
Добавляем репликациюк настроенному серверу
Исходные данные и план действий
Предположим, что у нас естьИмеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер сервер может быть установлен сразу с одновременной установкой настроен:
- с использованием службы сертификатов
- DogTag (ситуация, характерная для
- Astra Linux Common Edition);
- без использования службы DogTag (ситуация, характерная для
- Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя имя администратора сервера FreeIPA admin;
Добавлять будем реплику сервера FreeIA
Добавляться будет реплика сервера FreeIPA:
- с С адресом 10.0.2.103;
- С с FQDN replica.ipadomain.ru;
Для этого добавления реплики будут выполнены следующие действия:
- устанавливаются необходимые пакеты;
- будущий сервер реплики вводится в домен как клиент;
если служба DogTag не используется, то:
на работающем сервере создаются ключ и сертификат для реплики;
- ключ и сертификат копируются на сервер реплики;
- регистрируется реплика
Если сервер был установлен без службы DogTag, то для ОС СН Орёл устанавливаем и включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.
Регистрируем реплику на основном сервере FreeIPA;Предупреждение Для ОС СН Смоленск/ОС СН Минск решениео возможности использования слудбы DogTag должно основываться на общей политике безопасности, см. Включение службу инфраструктуры открытых ключей DogTag на ОС СН Смоленск
Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA
- Настраиваем реплику настраивается реплика на сервере-реплике;
Подготовка основного сервера
На всякий случай, проверяемПроверить работоспособность FreeIPA, получив
билет Kerberos:
Command kinit admin
Если на сервере ОС ОН Орёл ранее не был установлен центр сертификации DogTag, то добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
Command |
---|
ipa-ca-install |
Для ОС СН Смоленск/ОС СН Минск либо устанавиваем DogTag по инструкции для ОС СН, либо далее используем выпуск сертификатов с помощью XCA.
Входим- Зарегистрировать будущую реплику, создав реверсивную запись с её адресом. Для этого:
Войти в WEB-интерфейс FreeIPA:
Информация "Сетевые службы" => "DNS" => "Зоны DNS"
Проверить, что
:
При настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
В обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
- Если записи реверсивной зоны
- или реверсивной записи основного сервера FreeIPA нет -
- создать запись вручную.
В реверсивной зоне вручную
создать реверсивную запись для сервера репликации:
- Кнопка "Добавить"
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Предупреждение
Обязательно ставить точку в конце имени! - Кнопка "Добавить"
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Предупреждение Точка в конце имени сервера обязательна. Command sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."
Предупреждение |
---|
Тоже не забываем ставить точку в конце имени! |
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена
Иначе при включении
. Если такой записи не будет, то далее при вводе сервера репликации в домен будет
выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
- Если на сервере не используется центр сертификации DogTag, то выпустить сертификат для используя astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или XCA: графический инструмент для работы с сертификатами и ключевыми носителями.
Настройка сервера реплики
Настроить
полное имя сервера (FQDN). Для примера используется имя replica.ipadomain.ru
:
Command hostnamectl set-hostname replica.ipadomain.ru
Настроить разрешение
имен:
В файле /etc/hosts
Информация 10.0.2.103 replica.ipadomain.ru replica
Предупреждение Настроить стек IPv6 в соответствии с рекомендациями; С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
.
Перезапустить
сетевой интерфейс
, чтобы изменения вступили в силу
.
Установить инструменты для запуска и настройки:
Command apt install astra-freeipa-server astra-freeipa-client
Ввести машину в домен FreeIPA, указав имя домена к которому нужно подключаться
(команда
инициализации может сама
ввести машины в домен, однако
для упрощения диагностики рекомендуется выполнить ввод отдельно):
Command astra-freeipa-client -d ipadomain.ru
Инициализировать реплику (
потребуется пароль администратора домена):
Для
Astra Linux Common Edition и для
Astra Linux Special Edition с установленной службой DogTag:
Command
astra-freeipa-replica --
dogtag Для
Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
Command astra-freeipa-replica -a replica.p12 --pin 12345678 где replica.p12 - файл с сертификатом, в 12345678 - пароль (
PIN-код) к этому сертификату.
Проверка успеха
запускаинициализации реплики
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):
Command |
---|
kinit adminipa admin |
Примерный ответ команды:
Информация |
---|
Группа узлов: ipaservers |
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):
Удаление реплики
Для удаления реплики:
- На любой машине в домене, кроме удаляемой:
- При использовании web-интерфейса FreeIPA:
- С помощью браузера подключиться к WEB-интерфейсу любой реплики, кроме удаляемой.
- Авторизоваться в web-интерфейсе от имени администратора домена.
- Открыть список серверов: "IPA-сервер" → "Топология".
- Открыть форму с информацией про удаляемый сервер.
- Нажать кнопку "Удалить сервер".
- Перейти во вкладку "Сетевые службы" → "DNS" → "Зоны DNS" и выбрать прямую зону (её имя совпадает с именем домена).
- Удалить записи, относящиеся к удаленному серверу.
- При использовании командной строки:
- Получить билет Kerberos администратора домена.
Удалить реплику:
Command ipa server-del <имя_сервера_реплики> Удалить записи DNS в прямой зоне:
Command ipa dnsrecord-del <имя_домена> <короткое_имя_сервера> --del-all где <короткое_имя_сервера> — имя удаляемого сервера без доменной составляющей.
- При использовании web-интерфейса FreeIPA:
- На удаляемой машине:
- Рекомендованным вариантом является переустановка операционной системы (откат снимка LVM, если он был сделан).
- При невозможности применения рекомендованного варианта:
- Выполнить команду:
sudo astra-freeipa-server -U - Подтвердить выполнение команды.
Удалить ненужные пакеты, например:
Command sudo apt purge astra-freeipa-server astra-freeipa-client sssd krb5-kdc krb5-pkinit apache2 bind9 --autoremove
- Выполнить команду: