• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и  исп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

  • Astra Linux Common Edition 2.12



При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

  • не менее 3-х процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.


Настройка стенда с генерацией сертификатов

Стенд состоит из 5 машин:

Имена машин должны быть полными, например: ipacd.test.com
  1. Контролер домена ipacd.test.com с адресом 10.0.0.156.
  2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157.
  3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158.
  4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159.
  5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160.

Все адреса должны быть статичными.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты. См.статью Создание сертификатов для FreeIPA с помощью XCA без использования DogTag.

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины (сертификаты создавать от обычного пользователя, не от root!).

  • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
  • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
  • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Настройка КД:

  1. Установить пакет:

    sudo apt install astra-freeipa-server


  2. Инициализация сервера:

    sudo astra-freeipa-server -l /home/u/ipacd.test.com.p12 -lp 12345678 -d test.com -o -c

    Где:
    -l -путь к сертификату,
    -lp - пароль к сертификату,
    -o -для локальной сети используется изолированная среда,
    -c - не править файл hosts
    При запросе, пароль пользователя admin задаем 12345678

  3. Проверить состояние сервисов:

    sudo ipactl status

      все статусы должны быть RUNNING

  4.  Получить билет:

    kinit admin


  5. В браузере войти в web-интерфейс с адресом, выданным при установке сервера:

    https://ipacd.test.com
    логин: admin
    пароль: 12345678


Настройка клиента

  1. Установить пакет:

    astra-freeipa-client


  2. На клиенте в /etc/network/interfaces добавить строчку с адресом сервера FreeIPA:
    dns-nameservers 10.0.0.156 (адрес сервера ипы) в файле /etc/resolv.conf должно быть:

    domain test.com search test.com nameserver 10.0.0.156 (адрес КД freeipa)

    где 10.0.0.156 - адрес сервера FreeIPA

  3. Проверить, что домен доступен с клиентской машины:

    ping ipacd.test.com


  4. Инициализировать клиента командой

    astra-freeipa-client -d test.com
    пароль: 12345678


Проверка

  1. Получить билет на клиентской машине:

    kinit admin


  2. Проверка на клиентской машине:

    ipa host-find


  3. На КД в веб-форме, в закладке Узлы должна появиться клиентская машина

Настройка репликации

  1. На машинах-репликах установить и инициализировать клиенты.

  2. Доустановить пакеты для сервера.

  3. Получить билет:

    kinit admin



  4. Реплика берет данные из /etc/hosts: добавить строчку для разрешения имени сервера ipa:

    10.0.0.156 ipacd.test.com ipacd


  5. Запустить репликацию:

    ipa-replica-install --dirsrv-cert-file=./ipaserver1.test.com.p12 --dirsrv-pin=12345678 --http-cert-file=./ipaserver1.test.com.p12 --http-pin=12345678 --pkinit-cert-file=./ipaserver1.test.com.p12 --pkinit-pin=12345678 --setup-dns --no-forwarders --no-reverse