Добавляем репликацию к настроенному серверу

Исходные данные и план действий

Предположим, что у нас есть настроенный и работающий сервер FreeIPA:

• Установлен с помощью инструмента astra-freeipa-server с автоматически созданными самоподписанными сертификатами
  (например, командой astra-freeipa-server -d ipadomain.ru -o);
• IP-адрес сервера 10.0.2.102; 
• FQDN сервера ipa.ipadomain.ru;
• Имя администратора сервера FreeIPA admin;

Добавлять будем реплику сервера FreeIA

• С адресом 10.0.2.103;
• С FQDN replica.ipadomain.ru;

Для этого:

• Включаем на основном сервере FreeIPA службу инфраструктуры открытых ключей DogTag.

  Включение службу инфраструктуры открытых ключей DogTag на ОС СН Смоленск

  
  

• Регистрируем реплику на основном сервере FreeIPA;
• Настраиваем реплику на сервере-реплике;

Подготовка основного сервера

На всякий случай, проверяем работоспособность FreeIPA, получив тикет Kerberos:

Если на сервере ОС ОН Орёл ранее не был установлен центр сертификации DogTag, то добавляем сервер сертификации DogTag (минимальный набор служб - служба CA и служба KRA ) командами:

Для ОС СН Смоленск/ОС СН Минск либо устанавиваем DogTag по инструкции для ОС СН, либо далее используем выпуск сертификатов с помощью XCA.

Входим в WEB-интерфейс FreeIPA

Проверяем, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет - создаём их вручную

Далее, в реверсивной зоне вручную создаем реверсивную запись для сервера репликации:

• Кнопка "Добавить"
• Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
• Тип записи "PTR" (реверсивная запись)

• В поле Hostname указываем имя сервера replica.ipadomain.ru.

  Не забываем ставить точку в конце имени!

  
  

• Кнопка "Добавить"

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Также нужно проверить наличие записи A для сервера репликации в прямой зоне домена, и создать ее при необходимости.
 Иначе при включении в домен будет выдаваться предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи.

Настройка сервера реплики

• Настроить FQDN (имя replica.ipadomain.ru):

• Настраиваем разрешение имён:
  • В файле /etc/hosts

• 
  

  Настроить стек IPv6 в соответствии с рекомендациями;

  
  

• С помощью графического инструмента NetworkManager настроить статический IP-адрес 10.0.2.103 и адрес сервера DNS 10.0.2.102;
• Перезапустить компьютер (или перезапустить сетевой интерфейс), чтобы изменения вступили в силу;
• Установить инструменты для запуска и настройки:

• Установить клиента FreeIPA, указав имя домена к которому нужно подключаться
  (команда ipa-replica-install может сама установить клиента FreeIPA, однако рекомендуется установить клиента используя инструмент astra-freeipa-client, который автоматически выполняет дополнительные настройки):

• Установить реплику (после запуска команды нужно ввести пароль администратора домена):

  • Для ОС ОН Орёл:

    ipa-replica-install

    
    

  • Для ОС СН Смоленск или ОС СН Минск требуется предварительно выпустить сертификат и перенести его на сервер-реплику, после чего можно использовать команду:

    astra-freeipa-replica -a replica.p12 --pin 12345678

    где replica.p12 - файл с сертификатом, в 12345678 - пароль (пин-код) к этому сертификату.

Проверка успеха запуска

Сервер-реплика должен появиться в группе серверов ipaservers (перед выполнением команды следует получить тикет Kerberos):

Примерный ответ команды:

В WEB-интерфейсе FreeIPA сервер-реплика должен появиться в топологии ("Сервер IPA"  => "Топология" => "Topology Graph"):