|
При выполнении приведённых ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам. |
Предположим, что имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
Добавляться будет реплика сервера FreeIPA
Для этого будут выполнены следующие действия:
Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition, устанавливается и включается на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA |
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
kinit admin |
Если на сервере ранее не был установлен центр сертификации DogTag, то:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:
ipa-ca-install |
В Astra Linux Special Edition либо установить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.
Входим в WEB-интерфейс FreeIPA
"Сетевые службы" => "DNS" => "Зоны DNS" |
Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации:
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Не забываем ставить точку в конце имени! |
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru." |
Тоже не забываем ставить точку в конце имени! |
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настроить FQDN (имя replica.ipadomain.ru):
hostnamectl set-hostname replica.ipadomain.ru |
В файле /etc/hosts
10.0.2.103 replica.ipadomain.ru replica |
Настроить стек IPv6 в соответствии с рекомендациями; |
Установить инструменты для запуска и настройки:
apt install astra-freeipa-server astra-freeipa-client |
Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
(команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
astra-freeipa-client -d ipadomain.ru |
Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:
astra-freeipa-replica --dogtag |
Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
astra-freeipa-replica -a replica.p12 --pin 12345678 |
где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.
Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить билет Kerberos):
kinit admin |
Примерный ответ команды:
Группа узлов: ipaservers |
В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):