Содержание

Перейти к концу метаданных
Переход к началу метаданных

Орёл: добавляем репликацию к настроенному серверу


При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 3-х процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
    (например, командой astra-freeipa-server -d ipadomain.ru -o);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого:

  • Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

kinit admin

Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

ipa-ca-install
ipa-kra-install

Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Не забываем ставить точку в конце имени!
  • Кнопка "Добавить"


Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

  • Настраиваем FQDN (имя replica.ipadomain.ru):
hostnamectl set-hostname replica.ipadomain.ru
  • Настраиваем разрешение имён:
    • В файле /etc/hosts


10.0.2.102 ipa.ipadomain.ru ipa
10.0.2.103 replica.ipadomain.ru replica

    • С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
  • Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
  • Устанавливаем инструменты для запуска и настройки:
apt install astra-freeipa-server astra-freeipa-client
  • Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
astra-freeipa-client -d ipadomain.ru
  • Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):
ipa-replica-install

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers:

ipa hostgroup-show ipaservers

Примерный ответ команды:


Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд состоит из 5 машин:
Имена машин должны быть полными, например: ipacd.test.com
Контролер домена ipacd.test.com с адресом 10.0.0.156
Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
Клиентская машина ipaclient.test.com с адресом 10.0.0.160
Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты.

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)
Сертификат ipacd.test.com.p12 для КД ipacd.test.com
Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:
1. Установить пакеты: astra-freeipa-server 2. Инициализация сервера: astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c (-l -путь к сертификату, -lp - пароль к сертификату, -o -для локальной сети используется изолированная среда, -c - не править файл hosts) При запросе, пароль адммна задаем 12345678
Проверить состояние сервисов: ipactl status - все статусы RUNNING получить билет: kinit admin 3. теперь можно в броузере войти в web-интерфейс с адресом, выданным при установке сервера: https://ipacd.test.com логин: admin пароль: 12345678 Настройка клиента 1. Установить пакеты : astra-freeipa-client
2. На клиенте в /etc/network/interfaces добавить строчку с адресом днс КД:
dns-nameservers 10.0.0.156 (адрес сервера ипы)
в /etc/resolv.conf должно быть:
domain test.com
search test.com
nameserver 10.0.0.156 (адрес КД freeipa)
С клиентской машины домен должен пинговаться: ping ipacd.test.com 
3. Инициализация клиента
astra-freeipa-client -d test.com
пароль: 12345678
 
4. kinit admin
Проверка на клиентской машине: ipa host-find
На КД в веб-форме, в закладке Узлы должна появиться клиентская машина
Репликация
На реплицируемых машинах сначала инициализируем клиенты.
Потом доустанавливаем пакеты для сервера
kinit admin
Реплика берет данные из /etc/hosts:
добавить строчку для резолва сервера ipa:
10.0.0.156 ipacd.test.com ipacd

Запускаем репликацию:

ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse