Орёл: добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

• Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
  (например, командой astra-freeipa-server -d ipadomain.ru -o);
• IP-адрес сервера 10.0.2.102; 
• FQDN сервера ipa.ipadomain.ru;
• Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

• С адресом 10.0.2.103;
• С FQDN replica.ipadomain.ru;

Для этого:

• Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
• Регистрируем реплику на основном сервере FreeIPA;
• Настраиваем реплику;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

• Кнопка "Добавить"
• Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
• Тип записи "PTR" (реверсивная запись)

• В поле Hostname указываем имя сервера replica.ipadomain.ru.

  Не забываем ставить точку в конце имени!
• Кнопка "Добавить"

Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

• Настраиваем FQDN (имя replica.ipadomain.ru):

• Настраиваем разрешение имён:
  • В файле /etc/hosts

• С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
• Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
• Устанавливаем инструменты для запуска и настройки:

• Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
  (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

• Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд состоит из 5 машин:

1. Контролер домена ipacd.test.com с адресом 10.0.0.156
2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160

Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты.

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

• Сертификат ipacd.test.com.p12 для КД ipacd.test.com
• Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
• Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

1. Установить пакет:

   sudo apt install astra-freeipa-server

2. Инициализация сервера:

   sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c

   Где:
   -l -путь к сертификату,
   -lp - пароль к сертификату,
   -o -для локальной сети используется изолированная среда,
   -c - не править файл hosts
   При запросе, пароль пользователя admin задаем 12345678
   
   

3. Проверить состояние сервисов:

   sudo ipactl status
     все статусы должны быть RUNNING
   
   

4.  Получить билет:

   kinit admin

5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

   https://ipacd.test.com
   логин: admin
   пароль: 12345678

Настройка клиента

1. Установить пакет:

   astra-freeipa-client

2. На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
   dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

   domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)

   где 10.0.0.156 - адрес сервера FreeIPA
   
   

3. Проверить, что домен доступен с клиентской машины:

   ping ipacd.test.com

4. Инициализировать клиента командой

   astra-freeipa-client -d test.com
   пароль: 12345678

Проверка

1. Получить билет на клиентской машине:

   kinit admin

2. Проверка на клиентской машине:

   ipa host-find

3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

1. На машинах-репликах установить и инициализировать клиенты.
   
   
2. Доустановить пакеты для сервера.
   
   

3. Получить билет:

   kinit admin

4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

   10.0.0.156 ipacd.test.com ipacd

5. Запустить репликацию:

   ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse