При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.



Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1



Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag (ситуация, характерная для ОС ОН Орёл), или установлен без службы DogTag (ситуация, характерная для ОС СН);
  • IP-адрес сервера 10.0.2.102; 
  • FQDN сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIPA

  • С адресом 10.0.2.103;
  • С FQDN replica.ipadomain.ru;

Для этого будут выполнены следующие действия:

  • Если сервер был установлен без службы DogTag, то для ОС ОН Орёл устанавливаем и включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

    Для ОС СН Смоленск/ОС СН Ленинград решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. Включение службы инфраструктуры открытых ключей DogTag на ОС СН Смоленск

    Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA


  • Регистрируем реплику на основном сервере FreeIPA;
  • Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив билет Kerberos:

kinit admin

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В ОС ОН Орёл добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

ipa-ca-install
ipa-kra-install

В ОС СН Смоленск/Ленинград либо устанавливаем DogTag по инструкции для ОС СН, либо далее используем выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

  • Кнопка "Добавить"
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи "PTR" (реверсивная запись)

  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

    Не забываем ставить точку в конце имени!


  • Кнопка "Добавить"


Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."


Тоже не забываем ставить точку в конце имени!


Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при ввводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически.

Настройка сервера реплики

  • Настроить FQDN (имя replica.ipadomain.ru):
hostnamectl set-hostname replica.ipadomain.ru
  • Настраиваем разрешение имён:
    • В файле /etc/hosts

10.0.2.103 replica.ipadomain.ru replica


  • Настроить стек IPv6 в соответствии с рекомендациями;


  • С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
  • Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
  • Установить инструменты для запуска и настройки:
apt install astra-freeipa-server astra-freeipa-client
  • Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
    (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):
astra-freeipa-client -d ipadomain.ru
  • Установить реплику (после запуска команды нужно ввести пароль администратора домена):

    • Для ОС ОН Орёл и для ОС СН с установленной службой DogTag:

      astra-freeipa-replica --dogtag


    • Для ОС СН Смоленск или ОС СН Ленинград без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

      astra-freeipa-replica -a replica.p12 --pin 12345678

      где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.


Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

kinit adminipa hostgroup-show ipaservers

Примерный ответ команды:

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):