3.9.19.2.5 Настройка репликации FreeIPA
Скачать документ
Входные данные
Подготовка к развертыванию
Синхронизация времени
Настройка доменных имен
Отключение DNS-службы systemd-resolved
Настройка сетевого адаптера
Установка необходимых пакетов
Настройка сервера репликации
Настройка обратной зоны DNS на сервере IPA
Настройка репликации
Установка СА сервера
Настройка DNS-сервера на реплике
Проверка работы сервера репликации
Окружение
- Версия ОС: 8
- Конфигурация ОС: Рабочая станция, Сервер графический, Сервер минимальный
- Редакция ОС: Стандартная
- Архитектура: x86_64
- Версия ПО: ipa-server-4.10.3-7, ipa-server-dns-4.10.3-7
Репликация — это процесс, под которым понимается копирование данных из одного источника на другой (или на множество других) и наоборот.
При репликации изменения, сделанные в одной копии объекта, могут быть распространены в другие копии.
Входные данные
В рамках текущей инструкции будут использованы следующие данные:
для контроллера домена (основного сервера) FreeIPA:
IP-адрес – 192.168.122.83;
имя хоста – server.redosipa.test.
для сервера репликации:
IP-адрес – 192.168.122.125;
имя хоста – replica.redosipa.test.
Подготовка к развертыванию
Синхронизация времени
Для настройки синхронизации времени выполните настройку службы chrony. Подробную информацию см. в нашей статье «Установка и настройка chrony».
Настройка доменных имен
Назначьте доменное имя серверу репликации. Имя сервера репликации должно находиться в области домена сервера FreeIPA. В рассматриваемом примере серверу репликации будет назначено имя replica.redosipa.test:
hostnamectl set-hostname replica.redosipa.testНа контроллере домена и на сервере репликации необходимо в файл /etc/hosts добавить соответствующие записи:
echo "<IP-адрес_контроллера_домена> <имя_контроллера_домена>" >> /etc/hosts echo "<IP-адрес_сервера_реплики> <имя_сервера_реплики>" >> /etc/hosts
Например:
echo "192.168.122.83 server.redosipa.test" >> /etc/hosts echo "192.168.122.125 replica.redosipa.test" >> /etc/hosts
Отключение DNS-службы systemd-resolved
Откройте файл /etc/systemd/resolved.conf.
nano /etc/systemd/resolved.conf
Установите параметр DNSStubListener в значение no, как показано в примере. Это необходимо, чтобы отключить прослушивание systemd-resolved на порту 53.
После внесения изменений в файл необходимо перезапустить службу systemd-resolved командой:
systemctl restart systemd-resolved.service
Настройка сетевого адаптера
Сервер репликации должен быть настроен на использование DNS-сервера, который был сконфигурирован на контроллере домена FreeIPA во время его установки. В сетевых настройках необходимо указать сервер FreeIPA для разрешения имен. Настройку можно выполнить как в графическом интерфейсе, так и в консоли.
Для настройки DNS в графическом интерфейсе используйте утилиту «Сетевые соединения», расположенную в «Главном меню» – «Параметры» – «Расширенная конфигурация сети». Выберите активное подключение, нажмите кнопку «Изменить выбранное соединение».
В открывшемся окне перейдите на вкладку «Параметры IPv4», в поле «Дополнительные серверы DNS» напишите IP-адрес контроллера домена (например, 192.168.122.83), в поле «Дополнительные поисковые домены» введите имя контроллера домена (например, server.redosipa.test).
Нажмите «Сохранить» и перезапустите сеть:
systemctl restart NetworkManager
После внесения изменений в конфигурацию сети дополнительно рекомендуется перезагрузить систему для избежания возможных конфликтов в работе других приложений.
Для проверки корректности настройки DNS необходимо просмотреть конфигурацию файла /etc/resolv.conf:
cat /etc/resolv.conf
# Generated by NetworkManager
search server.redosipa.test redosipa.test
nameserver 192.168.122.83
nameserver 192.168.122.1А также удостовериться в том, что SRV-запись указывает на DNS контроллера домена, например:
dig SRV _ldap._tcp.redosipa.test ; <<>> DiG 9.18.28 <<>> SRV _ldap._tcp.redosipa.test ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38217 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; COOKIE: 17390c6a63fbf30f0100000067ea4f01dc531d9f514e1494 (good) ;; QUESTION SECTION: ;_ldap._tcp.redosipa.test. IN SRV ;; ANSWER SECTION: _ldap._tcp.redosipa.test. 86400 IN SRV 0 100 389 server.redosipa.test. ;; ADDITIONAL SECTION:server.redosipa.test. 1200 IN A192.168.122.83 ;; Query time: 1 msec ;; SERVER: 192.168.122.83#53(192.168.122.83) (UDP) ;; WHEN: Mon Mar 31 11:14:16 MSK 2025 ;; MSG SIZE rcvd: 137
Установка необходимых пакетов
Установите необходимые для развертывания сервера репликации пакеты:
dnf install ipa-client ipa-server-dns
Настройка сервера репликации
Для запуска настройки сервера репликации и автоматического обновления записей DNS через IP-адрес реплики выполните команду:
ipa-client-install --enable-dns-updates --mkhomedir -d
Сценарий настройки ipa-client-install создает файл журнала в /var/log/ipaclient-install.log. Если установка завершилась неудачно, журнал поможет определить проблему.
Автоматическое обновление записей DNS поддерживается том случае, если выполняется одно из условий:
контроллер FreeIPA, на котором будет зарегистрирован сервер репликации, был установлен со встроенным DNS;
DNS-сервер в сети принимает обновления записей DNS по протоколу GSS-TSIG.
Если зоны DNS и записи SRV в используемой системе настроены правильно, сценарий автоматически обнаружит все необходимые значения и выведет их на экран. Введите yes для подтверждения.
Client hostname: replica.redosipa.testHostname source: Machine's FQDN Realm: REDOSIPA.TESTRealm source: Discovered from LDAP DNS records in server.redosipa.testDNS Domain: redosipa.testDNS Domain source: Discovered LDAP SRV records from redosipa.test (domain of the hostname) IPA Server: server.redosipa.testIPA Server source: Discovered from LDAP DNS records in server.redosipa.testBaseDN: dc=redosipa,dc=testContinue to configure the system with these values? [no]: yes
Далее будут запрошены учетные данные (логин и пароль) пользователя, имеющего привилегии регистрации сервера репликации в домене. По умолчанию используются учетные данные администратора, который был создан при настройке сервера FreeIPA:
User authorized to enroll computers: admin
Password for admin@REDOSIPA.TEST: <пароль_администратора_сервера>После этого начнется процесс настройки сервера репликации. При успешном завершении настройки будет выведено следующее сообщение:
Client configuration complete. The ipa-client-install command was successful
Настройка обратной зоны DNS на сервере IPA
После настройки необходимо создать обратный адрес для сервера репликации на DNS-сервере контроллера домена. Перейдите в веб-управление контроллера домена по адресу http://<IP-адрес_контроллера_домена>. Для авторизации необходимо указать имя администратора сервера FreeIPA и пароль.
Откройте настройку зон DNS («Сетевые службы» – «DNS» – «Зоны DNS»).
Выберите в таблице запись вашего домена (в примере redosipa.test) и в открывшемся списке откройте запись сервера репликации (в примере replica).
Нажмите на IP-адрес в поле A-записи, а затем на ссылку «Создать запись DNS» в открывшемся окне.
Обратная запись будет создана.
После этого хост должен появиться в веб-интерфейсе на вкладке «Идентификация» – «Узлы».
Настройка репликации
На сервере репликации запустите настройку репликации:
ipa-replica-install
Введите пароль администратора контроллера домена:
Password for admin@REDOSIPA.TEST: <пароль_администратора_сервера_IPA>Дождитесь установки и настройки репликации.
Установка СА сервера
На сервере репликации запустите установку Центра сертификации (ЦС, CA):
ipa-ca-install
Введите пароль администратора DM, заданный в процессе развертывания контроллера домена:
Directory Manager (existing master) password: <пароль_администратора_DM>
Настройка DNS-сервера на реплике
Для настройки резервного DNS на сервере репликации выполните:
ipa-dns-install
Настройте перенаправления DNS:
Do you want to configure DNS forwarders? [yes]:
Если необходимо, добавьте ретранслятор службы имен (DNS relay). Этот шаг необязателен, и необходим в том случае, если предполагается использование внешнего сервера для обработки запросов службы имен DNS.
Do you want to configure these servers as DNS forwarders? [yes]: All detected DNS servers were added. You can enter additional addresses now: Enter an IP address for a DNS forwarder, or press Enter to skip:
Выберите [yes], в случае если будет использоваться внешний ретранслятор службы имен, иначе выберите [no].
IP-адреса DNS автоматически будут взяты из файла /etc/resolv.conf. Если в файле указан только один IP-адрес контроллера домена в качестве DNS-сервера, рекомендуется дополнительно указать основной DNS-сервер в сети.
Проверка работы сервера репликации
Для проверки работы репликации рекомендуется на контроллере домена FreeIPA создать тестового пользователя:
ipa user-add testuser --first=Test --last=User
Убедиться, что созданный пользователь появился на сервере репликации:
ipa user-find testuser
После настройки репликации также можно просмотреть топологию можно в веб-интерфейсе FreeIPA («IPA-сервер» – «Топология» – «Topology Graph»).
Дата последнего изменения: 30.04.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.