2.9.20.3.5 Настройка репликации FreeIPA
Скачать документ
Входные данные
Подготовка к развертыванию
Синхронизация времени
Назначение клиенту доменного имени
Настройка сетевого адаптера
Настройка Java OpenJDK
Установка необходимых пакетов
Настройка сервера репликации
Настройка обратной зоны DNS на сервере IPA
Настройка репликации
Установка СА сервера
Настройка DNS-сервера на реплике
Проверка работы сервера репликации
Окружение
- Версия ОС: 7.3
- Конфигурация ОС: Рабочая станция, Сервер графический, Сервер минимальный
- Редакция ОС: Стандартная
- Архитектура: x86_64
- Версия ПО: ipa-server-4.10.3-9, ipa-server-dns-4.10.3-9
Репликация — это процесс, под которым понимается копирование данных из одного источника на другой (или на множество других) и наоборот.
При репликации изменения, сделанные в одной копии объекта, могут быть распространены в другие копии.
Входные данные
В рамках текущей инструкции будут использованы следующие данные:
для контроллера домена (основного сервера) FreeIPA:
IP-адрес – 192.168.122.83;
имя хоста – server.redosipa.test.
для сервера репликации:
IP-адрес – 192.168.122.125;
имя хоста – replica.redosipa.test.
Подготовка к развертыванию
Синхронизация времени
Для настройки синхронизации времени выполните настройку службы chrony. Подробную информацию см. в нашей статье «Установка и настройка chrony».
Назначение клиенту доменного имени
Назначьте доменное имя серверу репликации. Имя сервера репликации должно находиться в области домена сервера FreeIPA. В рассматриваемом примере серверу репликации будет назначено имя replica.redosipa.test:
hostnamectl set-hostname replica.redosipa.testНа контроллере домена и на сервере репликации необходимо в файл /etc/hosts добавить соответствующие записи:
echo "<IP-адрес_контроллера_домена> <имя_контроллера_домена>" >> /etc/hosts echo "<IP-адрес_сервера_реплики> <имя_сервера_реплики>" >> /etc/hosts
Например:
echo "192.168.122.83 server.redosipa.test" >> /etc/hosts echo "192.168.122.125 replica.redosipa.test" >> /etc/hosts
Настройка сетевого адаптера
Сервер репликации должен быть настроен на использование DNS-сервера, который был сконфигурирован на контроллере домена FreeIPA во время его установки. В сетевых настройках необходимо указать сервер FreeIPA для разрешения имен. Настройку можно выполнить как в графическом интерфейсе, так и в консоли.
Для настройки DNS в графическом интерфейсе используйте утилиту «Сетевые соединения», расположенную в «Главном меню» – «Параметры» – «Расширенная конфигурация сети». Выберите активное подключение, нажмите кнопку «Изменить выбранное соединение».
В открывшемся окне перейдите на вкладку «Параметры IPv4», в поле «Дополнительные серверы DNS» напишите IP-адрес контроллера домена (например, 192.168.122.83), в поле «Дополнительные поисковые домены» введите имя контроллера домена (например, server.redosipa.test).
Нажмите «Сохранить» и перезапустите сеть:
systemctl restart NetworkManager
После внесения изменений в конфигурацию сети дополнительно рекомендуется перезагрузить систему для избежания возможных конфликтов в работе других приложений.
Для проверки корректности настройки DNS необходимо просмотреть конфигурацию файла /etc/resolv.conf:
cat /etc/resolv.conf
# Generated by NetworkManager
search server.redosipa.test redosipa.test
nameserver 192.168.122.83
nameserver 192.168.122.1А также удостовериться в том, что SRV-запись указывает на DNS контроллера домена, например:
dig SRV _ldap._tcp.redosipa.test ; <<>> DiG 9.18.28 <<>> SRV _ldap._tcp.redosipa.test ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38217 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; COOKIE: 17390c6a63fbf30f0100000067ea4f01dc531d9f514e1494 (good) ;; QUESTION SECTION: ;_ldap._tcp.redosipa.test. IN SRV ;; ANSWER SECTION: _ldap._tcp.redosipa.test. 86400 IN SRV 0 100 389 server.redosipa.test. ;; ADDITIONAL SECTION:server.redosipa.test. 1200 IN A192.168.122.83 ;; Query time: 1 msec ;; SERVER: 192.168.122.83#53(192.168.122.83) (UDP) ;; WHEN: Mon Mar 31 11:14:16 MSK 2025 ;; MSG SIZE rcvd: 137
Настройка Java OpenJDK
Для того чтобы при установке избежать появления ошибки CA configuration failed, выполните следующие действия:
1. Убедитесь, что используется Java OpenJDK версии 8:
java -version
2. Если используется версия Java, отличная от 8, то необходимо переключиться на 8-ую версию. Для этого выполните команды:
update-alternatives --config java update-alternatives --config jre_openjdk
в каждой выберите нужную версию, указав ее порядковый номер. После чего нажмите Enter.
3. Удалите пакеты прочих версий Java OpenJDK:
rpm -e java-11-openjdk-headless --nodeps rpm -e java-17-openjdk-headless --nodeps rpm -e java-21-openjdk-headless --nodeps
Установка необходимых пакетов
Установите необходимые для развертывания сервера репликации пакеты:
dnf install ipa-client ipa-server-dns
Настройка сервера репликации
Для запуска настройки сервера репликации и автоматического обновления записей DNS через IP-адрес реплики выполните команду:
ipa-client-install --enable-dns-updates --mkhomedir -d
Сценарий настройки ipa-client-install создает файл журнала в /var/log/ipaclient-install.log. Если установка завершилась неудачно, журнал поможет определить проблему.
Автоматическое обновление записей DNS поддерживается том случае, если выполняется одно из условий:
контроллер FreeIPA, на котором будет зарегистрирован сервер репликации, был установлен со встроенным DNS;
DNS-сервер в сети принимает обновления записей DNS по протоколу GSS-TSIG.
Если зоны DNS и записи SRV в используемой системе настроены правильно, сценарий автоматически обнаружит все необходимые значения и выведет их на экран. Введите yes для подтверждения.
Client hostname: replica.redosipa.testHostname source: Machine's FQDN Realm: REDOSIPA.TESTRealm source: Discovered from LDAP DNS records in server.redosipa.testDNS Domain: redosipa.testDNS Domain source: Discovered LDAP SRV records from redosipa.test (domain of the hostname) IPA Server: server.redosipa.testIPA Server source: Discovered from LDAP DNS records in server.redosipa.testBaseDN: dc=redosipa,dc=testContinue to configure the system with these values? [no]: yes
Далее будут запрошены учетные данные (логин и пароль) пользователя, имеющего привилегии регистрации сервера репликации в домене. По умолчанию используются учетные данные администратора, который был создан при настройке сервера FreeIPA:
User authorized to enroll computers: admin
Password for admin@REDOSIPA.TEST: <пароль_администратора_сервера>После этого начнется процесс настройки сервера репликации. При успешном завершении настройки будет выведено следующее сообщение:
Client configuration complete. The ipa-client-install command was successful
Настройка обратной зоны DNS на сервере IPA
После настройки необходимо создать обратный адрес для сервера репликации на DNS-сервере контроллера домена. Перейдите в веб-управление контроллера домена по адресу http://<IP-адрес_контроллера_домена>. Для авторизации необходимо указать имя администратора сервера FreeIPA и пароль.
Откройте настройку зон DNS («Сетевые службы» – «DNS» – «Зоны DNS»).
Выберите в таблице запись вашего домена (в примере redosipa.test) и в открывшемся списке откройте запись сервера репликации (в примере replica).
Нажмите на IP-адрес в поле A-записи, а затем на ссылку «Создать запись DNS» в открывшемся окне.
Обратная запись будет создана.
После этого хост должен появиться в веб-интерфейсе на вкладке «Идентификация» – «Узлы».
Настройка репликации
Запустите настройку репликации:
ipa-replica-install
Введите пароль администратора контроллера домена:
Password for admin@REDOSIPA.TEST: <пароль_администратора_сервера_IPA>Дождитесь установки и настройки репликации.
Установка СА сервера
Запустите установку Центра сертификации (ЦС, CA) для сервера репликации:
ipa-ca-install
Введите пароль администратора DM, заданный в процессе развертывания контроллера домена:
Directory Manager (existing master) password: <пароль_администратора_DM>
Настройка DNS-сервера на реплике
Для настройки резервного DNS на сервере репликации выполните:
ipa-dns-install
Настройте перенаправления DNS:
Do you want to configure DNS forwarders? [yes]:
Если необходимо, добавьте ретранслятор службы имен (DNS relay). Этот шаг необязателен, и необходим в том случае, если предполагается использование внешнего сервера для обработки запросов службы имен DNS.
Do you want to configure these servers as DNS forwarders? [yes]: All detected DNS servers were added. You can enter additional addresses now: Enter an IP address for a DNS forwarder, or press Enter to skip:
Выберите [yes], в случае если будет использоваться внешний ретранслятор службы имен, иначе выберите [no].
IP-адреса DNS автоматически будут взяты из файла /etc/resolv.conf. Если в файле указан только один IP-адрес контроллера домена в качестве DNS-сервера, рекомендуется дополнительно указать основной DNS-сервер в сети.
Проверка работы сервера репликации
Для проверки работы репликации рекомендуется на контроллере домена FreeIPA создать тестового пользователя:
ipa user-add testuser --first=Test --last=User
Убедиться, что созданный пользователь появился на сервере репликации:
ipa user-find testuser
После настройки репликации также можно просмотреть топологию можно в веб-интерфейсе FreeIPA («IPA-сервер» – «Топология» – «Topology Graph»).
Дата последнего изменения: 29.04.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.