5.4 Настройка репликации IPA

Предварительная настройка сервера

Задайте хостнейм

Он должен быть в области домена IPA сервера. Например, если ваш домен example.ru, то хостнейм реплики может быть —  rep1.example.ru

# hostnamectl set-hostname rep1.example.ru

Отредактируйте hosts

На уже созданном IPA сервере и на будущей реплике внесите в /etc/hosts адреса друг друга.

Открыть файл хостов можно в текстовом редакторе nano.

Например:

# nano /etc/hosts
172.16.0.11   ipa.example.ru
172.16.0.12   rep1.example.ru

Настройте сетевой адаптер

Важно
IP адрес сервера ни когда не должен изменяться. Сделайте его статическим в вашей сети.

Пропишите настройки DNS, домена и поискового сервера по умолчанию в создаваемой реплике, укажите в качестве DNS ваш IPA сервер. Подробнее о настройке сети можно прочитать в статье Настройка сетевого адаптера

Перезагрузите сеть.

# systemctl restart network

Проверка настроек

Проверьте заданные настройки в файле  /etc/resolv.conf

# nano /etc/resolv.conf
search example.ru
damain example.ru
nameserver 172.16.0.11

Так же выполните команду:

# dig SRV _ldap._tcp. example.ru

в выводе нужно удостоверится, что SRV запись берется из DNS контроллера домена, в нашем случае с ipamaster.org.lan. Примерный вывод представлен ниже.

[root@localhost ~]# dig SRV _ldap._tcp. example.ru
; <<>> DiG 9.9.4-GosLinux-9.9.4-52.el7 <<>> SRV _ldap._tcp. example.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24642
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.ipa.murom.          IN      SRV
;; ANSWER SECTION:
_ldap._tcp.ipa.murom.   86400   IN      SRV     0 100 389 ipa.example.ru.
;; AUTHORITY SECTION:
example.ru.              86400   IN      NS      ipa.example.ru.
;; ADDITIONAL SECTION:
ipa.example.ru.          1200    IN      A       172.16.0.11
ipa.example.ru.          1200    IN      A       10.9.0.2
;; Query time: 1 msec
;; SERVER: 172.16.0.11#53(172.16.0.11)
;; WHEN: Вт дек 28 12:46:05 MSK 2017
;; MSG SIZE  rcvd: 112

Замените chronid на ntpd

# systemctl stop chronyd
# systemctl disable chronyd
# systemctl start ntpd.service 
# systemctl enable ntpd
# ntpdate ipa.example.ru

 

Установка ipa-client

Установите ipa-client:

yum -y install ipa-client ipa-server-dns

Настройте клиента.

Впишите в команду данные для вашей сети:

ipa-client-install -d --mkhomedir --enable-dns-updates

Скрипт установки должен автоматически найти настройки на ipa сервере, вывести их и спросить подтверждение для найденных параметров:

Continue to configure the system with these values? [no]:

Ответьте yes.

Затем введите имя администратора. Можно просто использовать администратора по умолчанию IPA, который был создан при установке сервера:

User authorized to enroll computers: admin

Введите пароль администратора IPA, который был установлен во время настройки сервера IPA.

После этого клиент IPA подготовит систему.

Если установка прошла успешно, в конце вывода вы увидите:

Client configuration complete.
The ipa-client-install command was successful

Далее нужно создать обратный адрес для реплики на DNS сервере основного сервера. Зайдите в веб управление и перейдите в Network Services > DNS > Зоны DNS. Выберете в таблице запись вашего домена, например org.lan. и в открывшемся списке откройте запись вашей реплики, например ipareplica0. Нажмите на ip адрес в поле A записи и на ссылку в открывшемся окне. Обратная запись создана.

После этого хост должен появиться в веб-интерфейсе.

Настройка обратной зоны DNS на сервере IPA

Если реплика находится в другой подсети, создайте для нее обратную зону и добавьте в неё PTR запись для реплики.

Если реплика находится в одной подсети с IPA сервером, достаточно просто создать PTR запись для реплики.

Настройка репликации

Перейдите к настройке репликации

Выполните:

ipa-replica-install

Введите пароль администратора:

Password for admin@EXAMPLE.RU:

Дождитесь установки и настройки репликации.

Установка СА сервера

Перейдите к установке СА сервера:

ipa-ca-install

Введите Directory Manager password:

Directory Manager (existing master) password:

После завершения зайтите на любой веб-интерфейс и проверьте топологию:

Настройте DNS-сервер на реплике

Выполните команду:

ipa-dns-install

Разрешите форвардеров.

У вас автоматически возьмутся днс сервера из файла /etc/resolv.conf, если там только один основной сервер ipa, укажите дополнительно основной DNS сервер в сети.

Enter an IP address for a DNS forwarder, or press Enter to skip:

Если вдруг ваша реплика находится в другом регионе, можно указать другие форвардеры.

Мониторинг запущенных процессов

Необходимо мониторить запущенные процессы, открытые порты и самое главное мониторить срок действия корневого СА-сертификата. Проверить сертификат можно в веб управлении IPA сервера.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.