Содержание

Skip to end of metadata
Go to start of metadata

При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 3-х процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Минск 7.6 (не является сертифицированным СЗИ)


Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag (ситуация, характерная для ОС ОН Орёл), или установлен без службы DogTag (ситуация, характерная для ОС СН);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого будут выполнены следующие действия:

  • Если сервер был установлен без службы DogTag, то для ОС СН Орёл устанавливаем и включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

    Для ОС СН Смоленск/ОС СН Минск решениео возможности использования слудбы DogTag должно основываться на общей политике безопасности, см. Включение службу инфраструктуры открытых ключей DogTag на ОС СН Смоленск

    Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA

  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

kinit admin
Если на сервере ОС ОН Орёл ранее не был установлен центр сертификации DogTag, то добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
ipa-ca-install
ipa-kra-install
Для ОС СН Смоленск/ОС СН Минск либо устанавиваем DogTag по инструкции для ОС СН, либо далее используем выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Не забываем ставить точку в конце имени!
  • Кнопка "Добавить"


Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."

Тоже не забываем ставить точку в конце имени!

Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

  • Настроить FQDN (имя replica.ipadomain.ru):

hostnamectl set-hostname replica.ipadomain.ru

  • Настраиваем разрешение имён:
    • В файле /etc/hosts


10.0.2.103 replica.ipadomain.ru replica

  • Настроить стек IPv6 в соответствии с рекомендациями;
  • С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
  • Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
  • Установить инструменты для запуска и настройки:

apt install astra-freeipa-server astra-freeipa-client

  • Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

astra-freeipa-client -d ipadomain.ru

  • Установить реплику (после запуска команды нужно ввести пароль администратора домена):
    • Для ОС ОН Орёл и для ОС СН с установленной службой DogTag:

      ipa-replica-install

    • Для ОС СН Смоленск или ОС СН Минск без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

      astra-freeipa-replica -a replica.p12 --pin 12345678
      где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.


Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

kinit adminipa hostgroup-show ipaservers
Примерный ответ команды:

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):