При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:
- не менее 3-х процессоров
- не менее 2ГБ ОЗУ
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.
Данная статья применима к:
- ОС ОН Орёл 2.12
- ОС СН Смоленск 1.6
- ОС СН Минск 7.6 (не является сертифицированным СЗИ)
Добавляем репликацию к настроенному серверу
Исходные данные и план действий
Предположим, что у нас есть настроенный и работающий сервер FreeIPA:
- Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
(например, командой astra-freeipa-server -d ipadomain.ru -o); - IP-адрес сервера 10.0.2.102;
- FQDN сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавлять будем реплику сервера FreeIA
- С адресом 10.0.2.103;
- С FQDN replica.ipadomain.ru;
Для этого:
Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.
- Регистрируем реплику на основном сервере FreeIPA;
- Настраиваем реплику на сервере-реплике;
Подготовка основного сервера
На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:
ipa-kra-install
Входим в WEB-интерфейс FreeIPA
Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную
Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:
- Кнопка "Добавить"
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Не забываем ставить точку в конце имени!- Кнопка "Добавить"
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.
Настройка сервера реплики
- Настроить FQDN (имя replica.ipadomain.ru):
- Настраиваем разрешение имён:
- В файле /etc/hosts
10.0.2.103 replica.ipadomain.ru replica
- Настроить стек IPv6 в соответствии с рекомендациями;
- С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
- Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
- Установить инструменты для запуска и настройки:
- Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
(команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
- Установить реплику (после запуска команды нужно ввести пароль администратора домена):
Для ОС ОН Орёл:
ipa-replica-installДля ОС СН Смоленск или ОС СН Минск требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
astra-freeipa-replica -a replica.p12 --pin 12345678где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.
Проверка успеха запуска
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):
Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):
