Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »


При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 3-х процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6

Орёл: добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
    (например, командой astra-freeipa-server -d ipadomain.ru -o);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого:

  • Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

kinit admin
Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
ipa-ca-install
ipa-kra-install
Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Не забываем ставить точку в конце имени!
  • Кнопка "Добавить"


Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

  • Настраиваем FQDN (имя replica.ipadomain.ru):

hostnamectl set-hostname replica.ipadomain.ru

  • Настраиваем разрешение имён:
    • В файле /etc/hosts

10.0.2.102 ipa.ipadomain.ru ipa
10.0.2.103 replica.ipadomain.ru replica

  • С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
  • Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
  • Устанавливаем инструменты для запуска и настройки:

apt install astra-freeipa-server astra-freeipa-client

  • Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

astra-freeipa-client -d ipadomain.ru

  • Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):

ipa-replica-install

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

kinit adminipa hostgroup-show ipaservers
Примерный ответ команды:


Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд состоит из 5 машин:

Имена машин должны быть полными, например: ipacd.test.com
  1. Контролер домена ipacd.test.com с адресом 10.0.0.156
  2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
  3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
  4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
  5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160

Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты.

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

  • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
  • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
  • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

  1. Установить пакет:

    sudo apt install astra-freeipa-server

  2. Инициализация сервера:

    sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c

    Где:
    -l -путь к сертификату,
    -lp - пароль к сертификату,
    -o -для локальной сети используется изолированная среда,
    -c - не править файл hosts
    При запросе, пароль пользователя admin задаем 12345678

  3. Проверить состояние сервисов:

    sudo ipactl status
      все статусы должны быть RUNNING

  4.  Получить билет:

    kinit admin

  5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

    https://ipacd.test.com
    логин: admin
    пароль: 12345678

Настройка клиента

  1. Установить пакет:

    astra-freeipa-client

  2. На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
    dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

    domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)

    где 10.0.0.156 - адрес сервера FreeIPA

  3. Проверить, что домен доступен с клиентской машины:

    ping ipacd.test.com

  4. Инициализировать клиента командой

    astra-freeipa-client -d test.com
    пароль: 12345678

Проверка

  1. Получить билет на клиентской машине:

    kinit admin

  2. Проверка на клиентской машине:

    ipa host-find

  3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

  1. На машинах-репликах установить и инициализировать клиенты.

  2. Доустановить пакеты для сервера.

  3. Получить билет:

    kinit admin

  4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

    10.0.0.156 ipacd.test.com ipacd
  5. Запустить репликацию:

    ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse

  • No labels