Freeipa astra linux репликация

FreeIPA: настройка репликации

При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:

Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.

Добавление репликации к настроенному серверу

Исходные данные и план действий

Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102;
  • Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавляться будет реплика сервера FreeIPA

Для добавления реплики будут выполнены следующие действия:

    Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.

Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.

Подготовка основного сервера

На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:

Войти в WEB-интерфейс FreeIPA:

Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную

Читайте также:  Программный raid linux при установке

Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :

  • Кнопка «Добавить»
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи «PTR» (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.

Настройка сервера реплики

Источник

FreeIPA: настройка репликации

При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:

Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.

Добавление репликации к настроенному серверу

Исходные данные и план действий

Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102;
  • Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавляться будет реплика сервера FreeIPA

Для добавления реплики будут выполнены следующие действия:

    Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.

Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.

Подготовка основного сервера

На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:

Войти в WEB-интерфейс FreeIPA:

Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную

Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :

  • Кнопка «Добавить»
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи «PTR» (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.

Настройка сервера реплики

Источник

FreeIPA: настройка стенда с генерацией сертификатов

При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:

Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.

Настройка стенда с генерацией сертификатов

  1. Контролер домена ipacd.test.com с адресом 10.0.0.156
  2. Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
  3. Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
  4. Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
  5. Клиентская машина ipaclient.test.com с адресом 10.0.0.160

Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.

Перед настройкой и инициализацией серверов необходимо создать сертификаты.

Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)

  • Сертификат ipacd.test.com.p12 для КД ipacd.test.com
  • Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
  • Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com

Где:
-l -путь к сертификату,
-lp — пароль к сертификату,
-o -для локальной сети используется изолированная среда,
-c — не править файл hosts
При запросе, пароль пользователя admin задаем 12345678

все статусы должны быть RUNNING

Настройка клиента

Источник

FreeIPA: настройка репликации

При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:

Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.

Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.

  1. Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
  2. Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
  3. Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.

Добавление репликации к настроенному серверу

Исходные данные и план действий

Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):

  • Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
  • IP-адрес сервера 10.0.2.102;
  • Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
  • Имя администратора сервера FreeIPA admin;

Добавляться будет реплика сервера FreeIPA

Для добавления реплики будут выполнены следующие действия:

    Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.

Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.

Подготовка основного сервера

На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:

В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:

Войти в WEB-интерфейс FreeIPA:

Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:

А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:

Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную

Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :

  • Кнопка «Добавить»
  • Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
  • Тип записи «PTR» (реверсивная запись)
  • В поле Hostname указываем имя сервера replica.ipadomain.ru.

Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:

Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.

Настройка сервера реплики

Источник

Оцените статью
Adblock
detector