Сценарий применения:
- Первый контролер домена FreeIPA инициализируется с помощью инструмента astra-freeipa-server с использованием автоматического выпуска самоподписанного корневого сертификата.
При этом в каталоге /etc/ssl/freeipa автоматически создаются файлы:- /etc/ssl/freeipa/ca.key - закрытый ключ удостоверяющего центра;
- /etc/ssl/freeipa/ca.crt - сертификат закрытого ключа удостоверяющего центра;
- /etc/ssl/freeipa/server.key - закрытый ключ сервера;
- /etc/ssl/freeipa/server.crt - сертификат закрытого ключа сервера;
Для выпуска сертификатов следующих устанавливаемых контроллеров-реплик используется инструмент astra-freeipa-server-ctr. Пример команды:
astra-freeipa-server-ctr --host replica1.ipadomain.ru --export --push localadm@192.168.32.1 --pin 12345где:
--host - полное доменное имя нового сервера:
--export - указание выгрузить контейнер закрытого ключа и сертификата в формате pksc12;
--push - указание скопировать контейнер pkcs12 на сервер, где будет выполняться установка, в домашний каталог пользователя localadm (в общем случае это пользователь-администратор, заданный при установке системы) в файл с именем replica1.ipadomain.ru.p12;
--pin - пароль к созданному контейнеру;- Пользователь-администратор на сервере-реплике выполняет настройки параметров хоста (IP-адрес, адрес сервера DNS, hostname) и установку пакетов;
Установка FreeIPA на сервере-реплике выполняется пользователем-администратором, из его домашнего каталога, в который на предыдушем шаге скопирован контейнер pksc12. Команда:
astra-freeipa-replica -a replica1.ipadomain.ru.p12 --pin 12345По мере необходимости (напр. истечение срока действия сертификатов) обновление сертификатов выполняется командой:
astra-freeipa-server-ctr --host replica1.ipadomain.ru --push admin
где
--host - полное доменное имя сервера-реплики;
--push - указание автоматически установить выпущенный сертификат на сервере реплике, действуя от имени пользователя admin