Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Оглавление



Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп.2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12



Предупреждение

При выполнении

приведённых

приведенных ниже инструкций на виртуальных машинах

выделите

рекомендуется выделить машинам достаточное количество ресурсов:

  • не менее 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов

ведёт

ведет к сложно диагностируемым случайным ошибкам.

Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6


Предупреждение
titleВажно!

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.


Добавление репликации

Добавляем репликацию

к настроенному серверу

Исходные данные и план действий

Предположим, что у нас естьИмеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag DogTag (ситуация, характерная для ОС ОН Орёл Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для ОС СН Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102; 
  • Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику Добавляться будет реплика сервера FreeIPA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого добавления реплики будут выполнены следующие действия:

Подготовка основного сервера

На всякий случай, проверяем проверить работоспособность FreeIPA, получив билет Kerberos:

Command
kinit admin

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В ОС ОН Орёл добавляем Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Command

ipa-ca-install
ipa-kra-install

В ОС СН Смоленск/Ленинград/Минск либо устанавливаем Astra Linux Special Edition либо установить DogTag по инструкции для ОС СНAstra Linux Special Edition, либо далее используем выпуск сертификатов с помощью вместо Dogtag использовать astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA или  XCA.

Входим Войти в WEB-интерфейс FreeIPA:

Информация
"Сетевые службы" => "DNS" => "Зоны DNS"

ПроверяемПроверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём создать их вручную

Далее, в реверсивной зоне вручную создаем создать реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Предупреждение
    Не забываем Обязательно ставить точку в конце имени!


  • Кнопка "Добавить"


Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Command
sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."


Предупреждение
Тоже не забываем ставить точку в конце имени!
Также нужно проверить наличие записи A для

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена

, и создать ее при необходимости.
 Иначе при включении

. Если такой записи не будет, то далее при вводе сервера репликации в домен будет

выдаваться

выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе  добавления клиента в домен.

Настройка сервера реплики

  • Настроить FQDN (имя replica.ipadomain.ru):

    Command
    hostnamectl set-hostname replica.ipadomain.ru


  • Настраиваем Настроить разрешение имёнимен:
    • В файле /etc/hosts

      Информация

      10.0.2.103 replica.ipadomain.ru replica


      Предупреждение
      Настроить стек IPv6 в соответствии с рекомендациями;


  • С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
  • Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
  • Установить инструменты для запуска и настройки:

    Command
    apt install astra-freeipa-server astra-freeipa-client


  • Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

    Command
    astra-freeipa-client -d ipadomain.ru


  • Установить реплику (после запуска команды нужно ввести пароль администратора домена):
    • Для ОС ОН Орёл Astra Linux Common Edition и для ОС СН Astra Linux Special Edition с установленной службой DogTag:

      Command
      ipaastra-freeipa-replica --installdogtag


    • Для ОС СН Смоленск или ОС СН Минск Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

      Command
      astra-freeipa-replica -a replica.p12 --pin 12345678

      где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.


Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет билет Kerberos):

Command

kinit adminipa admin
ipa hostgroup-show ipaservers

Примерный ответ команды:

Информация

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):


...