- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
- FreeIPA: настройка стенда с генерацией сертификатов
- Настройка стенда с генерацией сертификатов
- Настройка клиента
- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настройка сервера реплики
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настройка сервера реплики
FreeIPA: настройка стенда с генерацией сертификатов
При выполнении приведённых ниже инструкций на виртуальных машинах выделите машинам достаточное количество ресурсов:
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.
Настройка стенда с генерацией сертификатов
- Контролер домена ipacd.test.com с адресом 10.0.0.156
- Сервер-реплика1 ipaserv1.test.com с адресом 10.0.0.157
- Сервер-реплика2 ipaserv2.test.com с адресом 10.0.0.158
- Клиент для настройки сервисов(apache2, postgresql, mail, печать) ipasrv.test.com с адресом 10.0.0.159
- Клиентская машина ipaclient.test.com с адресом 10.0.0.160
Все адреса должны быть прописаны статично в настройках.
Пароли для простоты используем 12345678 для всего.
Перед настройкой и инициализацией серверов необходимо создать сертификаты.
Создать сертификаты на КД для всех машин, которые буду реплицироваться, и переписать их на соответствующие машины(Сертификаты создавать от обычного пользователя, не от root!)
- Сертификат ipacd.test.com.p12 для КД ipacd.test.com
- Сертификат ipaserv1.test.com.p12 для ipaserv1.test.com
- Сертификат ipaserv2.test.com.p12 для ipaserv2.test.com
Где:
-l -путь к сертификату,
-lp — пароль к сертификату,
-o -для локальной сети используется изолированная среда,
-c — не править файл hosts
При запросе, пароль пользователя admin задаем 12345678
все статусы должны быть RUNNING
Настройка клиента
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.