Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп.2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12

При выполнении приведённых ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:

не менее 2ГБ ОЗУ (при использовании удостоверяющего центра DogTag - не менее 4ГБ).

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

Сервер может быть установлен сразу с одновременной установкой службы сертификатов Dogtag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
IP-адрес сервера 10.0.2.102;
FQDN сервера ipa.ipadomain.ru;
Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIPA

С адресом 10.0.2.103;
С FQDN replica.ipadomain.ru;

Для этого будут выполнены следующие действия:

Если сервер был установлен без службы DogTag, то для Astra Linux Common Edition установить и включить на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см.FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition. Установка сервера-реплики. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, XCA

Регистрируем реплику на основном сервере FreeIPA;
Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:

kinit admin

Если на сервере ранее не был установлен центр сертификации DogTag, то:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

ipa-ca-install
ipa-kra-install

В Astra Linux Special Edition либо устанавливить DogTag по инструкции для Astra Linux Special Edition, либо далее использовать выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

"Сетевые службы" => "DNS" => "Зоны DNS"

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

Справочный центр > FreeIPA: настройка репликации > FreeIPA-reverse-zone.jpg

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Справочный центр > FreeIPA: настройка репликации > FreeIPA-PTR-record.jpg

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

Кнопка "Добавить"
Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
Тип записи "PTR" (реверсивная запись)
В поле Hostname указываем имя сервера replica.ipadomain.ru.
Не забываем ставить точку в конце имени!
Кнопка "Добавить"

Справочный центр > FreeIPA: настройка репликации > FreeIPA-PTR-record-create.jpg

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

sudo ipa dnsrecord-add 2.0.10.in-addr.arpa 103 --ptr-rec "replica.ipadomain.ru."

Тоже не забываем ставить точку в конце имени!

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при ввводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически.

Настройка сервера реплики

Настроить FQDN (имя replica.ipadomain.ru):

hostnamectl set-hostname replica.ipadomain.ru

Настраиваем разрешение имён:
- В файле /etc/hosts

10.0.2.103 replica.ipadomain.ru replica

Настроить стек IPv6 в соответствии с рекомендациями;
С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
Установить инструменты для запуска и настройки:

apt install astra-freeipa-server astra-freeipa-client

Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
(команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

astra-freeipa-client -d ipadomain.ru

Установить реплику (после запуска команды нужно ввести пароль администратора домена):
- Для Astra Linux Common Edition и для Astra Linux Special Edition с установленной службой DogTag:
  astra-freeipa-replica --dogtag
- Для Astra Linux Special Edition без установленной службы DogTag требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:
  astra-freeipa-replica -a replica.p12 --pin 12345678
  где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

kinit admin
ipa hostgroup-show ipaservers

Примерный ответ команды:

Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.ipadomain.ru, replica.ipadomain.ru

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA" => "Топология" => "Topology Graph"):

Справочный центр > FreeIPA: настройка репликации > FreeIPA-Graph.jpg