Орёл: добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

• Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
  (например, командой astra-freeipa-server -d ipadomain.ru -o);
• IP-адрес сервера 10.0.2.102; 
• FQDN сервера ipa.ipadomain.ru;
• Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

• С адресом 10.0.2.103;
• С FQDN replica.ipadomain.ru;

Для этого:

• Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
• Регистрируем реплику на основном сервере FreeIPA;
• Настраиваем реплику;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Входим в WEB-интерфейс FreeIPA

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

• Кнопка "Добавить"
• Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
• Тип записи "PTR" (реверсивная запись)

• В поле Hostname указываем имя сервера replica.ipadomain.ru.

  Предупреждение
  Не забываем ставить точку в конце имени!

  
  

• Кнопка "Добавить"

Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

• Настраиваем FQDN (имя replica.ipadomain.ru):

• Настраиваем разрешение имён:
  • В файле /etc/hosts

• С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
• Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
• Устанавливаем инструменты для запуска и настройки:

• Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
  (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

• Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

Примерный ответ команды:

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд

состоит

из

5

машин:

1. Контролер

1. домена

1. ipacd.test.com

1. с

1. адресом

1. 10.0.0.156
2. Сервер-реплика1

1. ipaserv1.test.com

1. с

1. адресом

1. 10.0.0.157
2. Сервер-реплика2

1. ipaserv2.test.com

1. с

1. адресом

1. 10.0.0.158
2. Клиент

1. для

1. настройки

1. сервисов(apache2,

1. postgresql,

1. mail,

1. печать)

1. ipasrv.test.com

1. с

1. адресом

1. 10.0.0.159
2. Клиентская

1. машина

1. ipaclient.test.com

1. с

1. адресом

1. 10.0.0.160

Все

адреса

должны

быть

прописаны

статично

в

настройках.
Пароли

для

простоты

используем

12345678

для

всего.

Перед

настройкой

и

инициализацией

серверов

необходимо

создать

сертификаты.

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать

сертификаты

на

КД

для

всех

машин,

которые

буду

реплицироваться,

и

переписать

их

на

соответствующие

машины(Сертификаты

создавать

от

обычного

пользователя,

не

от

root!)

• Сертификат

• ipacd.test.com.p12

• для

• КД

• ipacd.test.com
• Сертификат

• ipaserv1.test.com.p12

• для

• ipaserv1.test.com
• Сертификат

• ipaserv2.test.com.p12

• для

• ipaserv2.test.com

Настройка

КД:

1. Установить

1. пакет:

   Command
   sudo apt install astra-freeipa-server

1. 
   

2. Инициализация

1. сервера:

1. Информация
   sudo astra-freeipa-server

1. -l

1. /home/u/ipacd.test.com.p12

1. -lp

1. 12345678

1. -d

1. test.com

1. -o

1. -c

1. Где:
   -l

1. -путь

1. к

1. сертификату,

1. 
   -lp

1. -

1. пароль

1. к

1. сертификату,

1. 
   -o

1. -для

1. локальной

1. сети

1. используется

1. изолированная

1. среда,

1. 
   -c

1. -

1. не

1. править

1. файл

1. hosts

1. 
   При

1. запросе,

1. пароль

1. пользователя admin задаем

1. 12345678
   
   

2. Проверить

1. состояние

1. сервисов:

1. Command
   sudo ipactl

1. status

1.   все

1. статусы

1. должны быть RUNNING
   
   

2.  Получить билет:

1. Command
   kinit

1. admin

   
   

2. В браузере войти в web-интерфейс

1. с

1. адресом,

1. выданным

1. при

1. установке

1. сервера:

1. Информация
   https://ipacd.test.com

1. логин:

1. admin

1. пароль:

1. 12345678

Настройка

клиента

1. Установить пакет:

   Command
   astra-freeipa-client

2.

1. 
   

2. На

1. клиенте

1. в

1. /etc/network/interfaces

1. добавить

1. строчку

1. с

адресом днс КД:

1. адресом сервера FreeIPA:
   dns-nameservers

1. 10.0.0.156

1. (адрес

1. сервера

1. ипы)

1. в

1. файле /etc/resolv.conf

1. должно

1. быть:

1. Информация
   domain

1. test.com

1. search

1. test.com

1. nameserver

1. 10.0.0.156

1. (адрес

1. КД

1. freeipa)

1. где 10.0.0.156 - адрес сервера FreeIPA
   
   

2. Проверить, что домен доступен с клиентской машины:

   Command
   ping

С клиентской машины домен должен пинговаться: ping 3. Инициализация клиента

1. ipacd.test.com

1. 
   

2. Инициализировать клиента командой

   Command

1. astra-freeipa-client

1. -d

1. test.com

1. пароль:

12345678 4. kinit admin Проверка на клиентской машине: ipa host-find На КД в

1. 12345678

   
   

Проверка

1. Получить билет на клиентской машине:

   Command
   kinit admin

   
   

2. Проверка на клиентской машине:

   Command
   ipa host-find

   
   

3. На КД в веб-форме,

1. в

1. закладке

1. Узлы

1. должна

1. появиться

1. клиентская

1. машина

Настройка репликации

1. На

1. машинах-репликах установить и инициализировать клиенты.
   
   
2. Доустановить пакеты для сервера.
   
   

3. Получить билет:

   Command
   kinit admin

   
   
   

4. Реплика берет данные из /etc/hosts:

1. добавить

1. строчку

1. для

1. разрешения имени сервера

1. ipa:

1. Информация
   10.0.0.156

1. ipacd.test.com

1. ipacd

   
   

2. Запустить репликацию:

   Command
   ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse