- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
- FreeIPA: настройка репликации
- Добавление репликации к настроенному серверу
- Исходные данные и план действий
- Подготовка основного сервера
- Настройка сервера реплики
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настройка сервера реплики
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.
Настройка сервера реплики
FreeIPA: настройка репликации
При выполнении приведенных ниже инструкций на виртуальных машинах рекомендуется выделить машинам достаточное количество ресурсов:
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Службы FreeIPA крайне чувствительны к правильным настройкам параметров операционной системы. Даже при запуске FreeIPA в тестовом режиме следует придерживаться приведенных ниже правил.
- Установку FreeIPA (реплик FreeIPA) необходимо выполнять на чистой ОС, на которой ранее не были установлены другие сервисы.
- Перед установкой убедиться, что установлены последние обновления безопасности, и обеспечить их установку.
- Работа FreeIPA в Astra Linux Special Edition c включенным МКЦ осуществляется только при отключенном режиме AstraMode web-сервера Apache2.
Добавление репликации к настроенному серверу
Исходные данные и план действий
Имеется настроенный и работающий сервер FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux):
- Сервер может быть установлен сразу с одновременной установкой службы сертификатов DogTag (ситуация, характерная для Astra Linux Common Edition), или установлен без службы DogTag (ситуация, характерная для Astra Linux Special Edition);
- IP-адрес сервера 10.0.2.102;
- Полное доменное имя (FQDN) сервера ipa.ipadomain.ru;
- Имя администратора сервера FreeIPA admin;
Добавляться будет реплика сервера FreeIPA
Для добавления реплики будут выполнены следующие действия:
- Если сервер был установлен без службы DogTag, то устанавливается и включается на основном сервере FreeIPA служба инфраструктуры открытых ключей DogTag.
Для Astra Linux Special Edition решение о возможности использования службы DogTag должно основываться на общей политике безопасности, см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6. Если службу DogTag использовать не представляется возможным, следует использовать другие способы выпуска сертификатов, например, astra-freeipa-server-crt — инструмент для создания и обновления сертификатов FreeIPA или графический инструмент XCA.
Подготовка основного сервера
На всякий случай, проверить работоспособность FreeIPA, получив билет Kerberos:
В Astra Linux Common Edition добавить сервер сертификации DogTag (минимальный набор служб — служба CA и служба KRA ) командами:
Войти в WEB-интерфейс FreeIPA:
Проверить, что при настройке DNS в процессе инициализации FreeIPA создана обратная зона DNS 2.0.10.in-addr.arpa.:
А в обратной зоне создана реверсивная запись для основного сервера 10.0.2.102:
Если записи реверсивной зоны и реверсивной записи основного сервера FreeIPA нет — создать их вручную
Далее, в реверсивной зоне вручную создать реверсивную запись для сервера репликации :
- Кнопка «Добавить»
- Имя записи 103 (адрес сервера репликации 103 в сети без адреса сети 10.0.2.0/24)
- Тип записи «PTR» (реверсивная запись)
- В поле Hostname указываем имя сервера replica.ipadomain.ru.
Реверсивные записи для серверов репликации можно добавлять из командной строки, выполняя на основном сервере команды вида:
Дополнительно (не обязательно) можно создать запись A для сервера репликации в прямой зоне домена. Если такой записи не будет, то далее при вводе сервера репликации в домен будет выдано предупреждение о возможной нестабильности работы из-за отсутствия A/AAAA записи. Предупреждение некритичное, все нужные записи будут созданы автоматически в процессе добавления клиента в домен.