Настройка репликации IPA

Окружение

• Версия РЕД ОС: 8
• Конфигурация: Сервер графический
• Версия ПО: ipa-4.8.10

Предварительная настройка сервера

Задайте хостнейм

Он должен быть в области домена IPA сервера. Например, если ваш домен example.ru, то хостнейм реплики может быть -  rep1.example.ru

# hostnamectl set-hostname rep1.example.ru

Отредактируйте hosts

На уже созданном IPA сервере и на будущей реплике внесите в /etc/hosts адреса друг друга.

Открыть файл хостов можно в текстовом редакторе nano.

# nano /etc/hosts
10.81.1.181   ipa.example.ru
10.81.1.182   rep1.example.ru

Настройте сетевой адаптер

Пропишите настройки DNS, домена и поискового сервера по умолчанию в создаваемой реплике, укажите в качестве DNS ваш IPA сервер. Подробнее о настройке сети см. в нашей статье «Настройка сетевого адаптера».

Пример:

Перезагрузите сеть.

# systemctl restart NetworkManager

Проверка настроек

Проверьте заданные настройки в файле  /etc/resolv.conf

# cat /etc/resolv.conf
search example.ru
domain example.ru
nameserver 10.81.1.181

Для корректной синхронизации реплики и сервера требуется на стороне сервера и реплики выполнить:

systemctl stop chronyd
systemctl disable chronyd
systemctl start ntpd
systemctl enable ntpd
ntpdate time.yandex.ru
nano /etc/ntp.conf

добавьте строчку 
server time.yandex.ru

закомментируйте строки:
#server ntp1.vniiftri.ru
#server ntp2.vniiftri.ru
#server ntp3.vniiftri.ru
#server ntp4.vniiftri.ru

Так же выполните команду:

# dig SRV _ldap._tcp.example.ru

в выводе нужно удостоверится, что SRV запись берется из DNS контроллера домена, в нашем случае с ipa.example.ru. Примерный вывод представлен ниже.

[root@localhost ~]# dig SRV _ldap._tcp.example.ru
; <<>> DiG 9.9.4-GosLinux-9.9.4-52.el7 <<>> SRV _ldap._tcp.example.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24642
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.ipa.murom.          IN      SRV
;; ANSWER SECTION:
_ldap._tcp.ipa.murom.   86400   IN      SRV     0 100 389 ipa.example.ru.
;; AUTHORITY SECTION:
example.ru.              86400   IN      NS      ipa.example.ru.
;; ADDITIONAL SECTION:
ipa.example.ru.          1200    IN      A       10.81.1.181
ipa.example.ru.          1200    IN      A       10.9.0.2
;; Query time: 1 msec
;; SERVER: 10.81.1.181#53(10.81.1.181)
;; WHEN: Вт дек 28 12:46:05 MSK 2017
;; MSG SIZE  rcvd: 112

Настройка синхронизации времени с помощью chronyd

После успешной синхронизации выполните

systemctl stop ntpd
systemctl disable ntpd
systemctl start chronyd
systemctl enable chronyd

Установка ipa-client

Установите ipa-client:

dnf install ipa-client ipa-server-dns

После установки, убедитесь что используется Java OpenJDK версии 8:

 java -version 

Если используется Java 11, то необходимо переключиться на 8-ую версию. Для этого выполните команды:

update-alternatives --config java
update-alternatives --config jre_openjdk

в каждой выберите нужную версию, указав ее порядковый номер. После чего нажмите Enter.

Настройте клиента.

Впишите в команду данные для вашей сети:

ipa-client-install -d --mkhomedir --enable-dns-updates

Скрипт установки должен автоматически найти настройки на ipa сервере, вывести их и спросить подтверждение для найденных параметров:

Continue to configure the system with these values? [no]:

Ответьте yes.

Затем введите имя администратора. Можно просто использовать администратора по умолчанию IPA, который был создан при установке сервера:

User authorized to enroll computers: admin

Введите пароль администратора IPA, который был установлен во время настройки сервера IPA.

После этого клиент IPA подготовит систему.

Если установка прошла успешно, в конце вывода вы увидите:

Client configuration complete.
The ipa-client-install command was successful

Далее нужно создать обратный адрес для реплики на DNS сервере основного сервера. Зайдите в веб управление и перейдите в Network Services > DNS > Зоны DNS. Выберете в таблице запись вашего домена, например org.lan. и в открывшемся списке откройте запись вашей реплики, например ipareplica0. Нажмите на ip адрес в поле A записи и на ссылку в открывшемся окне. Обратная запись создана.

После этого хост должен появиться в веб-интерфейсе.

Настройка обратной зоны DNS на сервере IPA

Если реплика находится в другой подсети, создайте для нее обратную зону и добавьте в неё PTR запись для реплики.

Если реплика находится в одной подсети с IPA сервером, достаточно просто создать PTR запись для реплики.

Настройка репликации

Перейдите к настройке репликации

Выполните:

ipa-replica-install

Введите пароль администратора:

Password for admin@EXAMPLE.RU:

Дождитесь установки и настройки репликации.

Установка СА сервера

Перейдите к установке СА сервера:

ipa-ca-install

Введите Directory Manager password:

Directory Manager (existing master) password:

После завершения зайтите на любой веб-интерфейс и проверьте топологию:

Настройте DNS-сервер на реплике

Выполните команду:

ipa-dns-install

Разрешите форвардеров.

У вас автоматически возьмутся днс сервера из файла /etc/resolv.conf, если там только один основной сервер ipa, укажите дополнительно основной DNS сервер в сети.

Enter an IP address for a DNS forwarder, or press Enter to skip:

Если вдруг ваша реплика находится в другом регионе, можно указать другие форвардеры.

Мониторинг запущенных процессов

Необходимо мониторить запущенные процессы, открытые порты и самое главное мониторить срок действия корневого СА-сертификата. Проверить сертификат можно в веб управлении IPA сервера.

Вывод клиента из домена Ipa

Для вывода клиента из домена Ipa выполните команду:

ipa-client-install --uninstall

Дата последнего изменения: 23.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.