Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 11 Next »

При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 3-х процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6

Орёл: добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
    (например, командой astra-freeipa-server -d ipadomain.ru -o);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого:

  • Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag;
  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

kinit admin
Добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
ipa-ca-install
ipa-kra-install
Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Не забываем ставить точку в конце имени!
  • Кнопка "Добавить"


Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

  • Настраиваем FQDN (имя replica.ipadomain.ru):

hostnamectl set-hostname replica.ipadomain.ru

  • Настраиваем разрешение имён:
    • В файле /etc/hosts

10.0.2.102 ipa.ipadomain.ru ipa
10.0.2.103 replica.ipadomain.ru replica

  • С помощью графического инструмента NetworkManager настраиваем статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102
  • Перезапускаем компьютер (или перезапускаем сетевой интерфейс), чтобы изменения вступили в силу.
  • Устанавливаем инструменты для запуска и настройки:

apt install astra-freeipa-server astra-freeipa-client

  • Устанавливаем клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

astra-freeipa-client -d ipadomain.ru

  • Устанавливаем реплику (после запуска команды нужно ввести пароль администратора домена):

ipa-replica-install

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

kinit adminipa hostgroup-show ipaservers
Примерный ответ команды:


Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):

Смоленск: настройка репликации с генерацией ключей

Стенд состоит из 5 машин:

Имена машин должны быть полными, например: ipacd.test.com
  1. Контролер домена ipacd.test.com с адресом 10.0.0.156
  2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
  3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
  4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
  5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160

Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты.

См. также Создание сертификатов для FreeIPA с помощью XCA

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

  • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
  • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
  • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

  1. Установить пакет:

    sudo apt install astra-freeipa-server

  2. Инициализация сервера:

    sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c

    Где:
    -l -путь к сертификату,
    -lp - пароль к сертификату,
    -o -для локальной сети используется изолированная среда,
    -c - не править файл hosts
    При запросе, пароль пользователя admin задаем 12345678

  3. Проверить состояние сервисов:

    sudo ipactl status
      все статусы должны быть RUNNING

  4.  Получить билет:

    kinit admin

  5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

    https://ipacd.test.com
    логин: admin
    пароль: 12345678

Настройка клиента

  1. Установить пакет:

    astra-freeipa-client

  2. На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
    dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

    domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)

    где 10.0.0.156 - адрес сервера FreeIPA

  3. Проверить, что домен доступен с клиентской машины:

    ping ipacd.test.com

  4. Инициализировать клиента командой

    astra-freeipa-client -d test.com
    пароль: 12345678

Проверка

  1. Получить билет на клиентской машине:

    kinit admin

  2. Проверка на клиентской машине:

    ipa host-find

  3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

  1. На машинах-репликах установить и инициализировать клиенты.

  2. Доустановить пакеты для сервера.

  3. Получить билет:

    kinit admin

  4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

    10.0.0.156 ipacd.test.com ipacd
  5. Запустить репликацию:

    ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse

  • No labels