Репликация домена IPA в ОС RELS и «КОБАЛЬТ» — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
м (Применимость: оформление)
 
(не показаны 4 промежуточные версии этого же участника)
Строка 1: Строка 1:
 
== Применимость ==
 
== Применимость ==
Инструкция предназначена для описания процесса развертывания резервного сервера IPA (Identification Policy and Audit) при условии наличия основного.  
+
=== Назначение ===
Инструкция предполагает что у вас уже работает основной сервер домена, настроенный по инструкции «Создание контроллера домена на основе Free IPA на RELS» или «Создание контроллера домена на основе FreeIPA и ОС CobaltSX».
+
В этой инструкции описан процесс развёртывания резервного сервера IPA (Identification, Policy and Audit) при наличии основного. Предполагается, что у вас уже работает основной сервер домена, настроенный по [[Развёртывание домена IPA в ОС RELS и «КОБАЛЬТ»|инструкции]].  
  
 
=== Список поддерживаемых ОС ===
 
=== Список поддерживаемых ОС ===
* РОСА «КОБАЛЬТ» SX 1.0;
+
* ROSA Enterprise Linux Server (RELS) версии 6.6 и выше
* ROSA Enterprise Linux Server (RELS) 6.6 и выше.
+
* РОСА «КОБАЛЬТ»
При этом нужно учитывать, что если основной сервер домена развернут на ОС РОСА «КОБАЛЬТ» SX 1.0, то репликация возможна на любую из поддерживаемых ОС, т.е как непосредственно на сам Коабльт, так и на RELS 6.6-6.8.
+
 
 +
Если основной сервер домена развёрнут на ОС РОСА «КОБАЛЬТ», то репликация возможна на любую из поддерживаемых ОС, т. е как непосредственно на сам «КОБАЛЬТ», так и на RELS.
  
 
=== Настройки серверов ===
 
=== Настройки серверов ===
Предполагается, что на момент настройки репликации у вас есть сервер с установленной ОС RELS 6.8 в варианте «Минимальная» или ОС CobaltSX в варианте «Минимальная».  
+
Предполагается, что на момент настройки репликации у вас есть сервер с установленной ОС RELS или РОСА «КОБАЛЬТ» в варианте «Минимальная». Все команды выполняются от имени администратора (root).
Все приведенные команды и настройки проводятся под учетной записью суперпользователя root.
+
 
В примерах, приводимых в данной инструкции мы будем предполагать что наш сервера имеют следующие сетевые настройки:
+
В примерах, приводимых в данной инструкции, предполагается, что серверы имеют следующие сетевые параметры:
  
 
Основной сервер:
 
Основной сервер:
  Имя: dc1.test.dom
+
Имя: dc1.test.dom
  IP:192.168.76.47/24
+
IP: 192.168.76.47/24
  
 
Резервный сервер:
 
Резервный сервер:
  Имя: dc2.test.dom
+
Имя: dc2.test.dom
  IP:192.168.76.82/24
+
IP: 192.168.76.82/24
  
 
== Установка FreeIPA ==
 
== Установка FreeIPA ==
  
=== Подключение репозитория ===
+
=== Настройка DNS и hostname ===
Для установки IPA на ОС CobaltSX нужно подключить дополнительный репозиторий. Для этого есть 2 варианта:
+
* Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция <code>domain</code> или <code>search</code>. В файле /etc/resolv.conf должны содержаться записи следующего вида:
# в текстовом режиме редактируем файл /etc/yum.repos.d/rels.repo, установив в  в секции [rels-base] параметр enabled=1,
+
# в графической среде открыть «Источники программ» (Пуск→Администрирование→Источники программ) и поставить галочку напротив пункта «ROSA Enterprise Linux Server — Base»
+
[[File:RELS FreeIPA1.png|RELS FreeIPA1.png]]
+
  
Перед установкой пакетов убедитесь в доступности обоих источников программ. Доступность дополнительного сетевого источника можно проверить командой
+
search test.dom
  '''ping mirror.rosalinux.com'''
+
nameserver 192.168.76.47
Вы должны увидеть примерно следующий вывод:
+
  # '''ping mirror.rosalinux.com'''
+
  PING mirror.rosalinux.com (195.19.76.246) 56(84) bytes of data.
+
  64 bytes from 195.19.76.246: icmp_seq=1 ttl=63 time=2.21 ms
+
  
Доступность локального репозитория проверяется наличием смонтированного образа установочного диска в каталог /media/ROSA-SX-1.0/, например командой:
+
Убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network.
  
  # '''mount |grep ROSA'''
+
cat /etc/sysconfig/network
  
Вы должны увидеть следующий вывод:
+
HOSTNAME=dc2.test.dom
 +
NETWORKING=yes
 +
NISDOMAIN=test.dom
  
  # '''mount |grep ROSA'''
+
=== Установка оснастки ===
  /dev/sr0 on /media/ROSA-SX-1.0 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=500,gid=500,iocharset=utf8,mode=0400,dmode=0500)
+
  
В ОС RELS репозиторий уже подключен после установки ОС.
+
* Установите оснастку для сервера IPA:
 +
  yum install bind-dyndb-ldap bind ipa-server
  
=== Настройка DNS и hostname ===
+
* Проверьте корректность сетевых параметров в файле /etc/hosts:
Убедитесь что в качестве первого DNS сервера у вас используется ваш текущий основной сервер домена IPA. И, если планируется использовать короткие имена машин в сети, то прописана корректная опция domain или search. Для этого в файле ''/etc/resolv.conf'' должны быть записи вида:
+
cat /etc/hosts
  
   search test.dom
+
Содержимое файла должно иметь следующий вид:
   nameserver 192.168.76.47
+
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
 +
::1   localhost localhost.localdomain localhost6 localhost6.localdomain6
 +
192.168.76.82  dc2.test.dom dc2
  
Убедитесь, что имя сервера (hostname) у Вас задано строчными буквами. Имя сервера задается в файле ''/etc/sysconfig/network''.
+
Последняя строка должна указывать на сервер.
 
+
  cat /etc/sysconfig/network
+
  HOSTNAME=dc2.test.dom
+
  NETWORKING=yes
+
  NISDOMAIN=test.dom
+
 
+
=== Установка оснастки ===
+
 
+
После этого установим оснастку для сервера IPA:
+
  '''yum install bind-dyndb-ldap bind ipa-server'''
+
Проверим наличие корректных сетевых настроек в файле /etc/hosts. Он должен выглядеть так:
+
  127.0.0.1  localhost localhost.localdomain localhost4 localhost4.localdomain4
+
  ::1  localhost localhost.localdomain localhost6 localhost6.localdomain6
+
  192.168.76.82  dc2.test.dom dc2
+
Нас в первую очередь интересует нижняя строчка, указывающая на наш сервер.
+
  
 
== Настройка репликации ==
 
== Настройка репликации ==
 
=== Подготовка ===
 
=== Подготовка ===
Необходимо выполнить подготовительные команды
+
Выполните подготовительные команды:
  '''rm -f /etc/portreserve/slapd'''
+
rm -f /etc/portreserve/slapd
  '''service portreserve restart'''
+
service portreserve restart
  '''yum remove firefox thunderbird'''
+
yum remove firefox thunderbird
  '''yum downgrade nss nss-tools nss-sysinit nss-util'''
+
yum downgrade nss nss-tools nss-sysinit nss-util
  
 
=== Добавление резервного сервера в DNS ===
 
=== Добавление резервного сервера в DNS ===
Добавим запись о нашем резервном сервере в DNS. Это можно сделать либо в графической утилите управления доменом «Identity Managment», для чего подсоединиться с серверу домена с помощью веб-браузера
+
Добавить запись о резервном сервере в DNS можно двумя способами.
 +
 
 +
* Способ 1. Подключитесь с серверу домена с помощью браузера и воспользуйтесь графической утилитой управления доменом «Identity Managment»:
  
 
[[File:RELS FreeIPA2.png]]
 
[[File:RELS FreeIPA2.png]]
  
либо с помощью команды, выполняемой на основном сервере IPA
+
* Способ 2. На основном сервере IPA выполните следующую команду:
  '''ipa dnsrecord-add test.dom dc2 --a-rec 192.168.76.82'''
+
ipa dnsrecord-add test.dom dc2 --a-rec 192.168.76.82
Если на этом этапе вы получили сообщение вида:
+
 
  ipa: ERROR: не получены регистрационные данные Kerberos
+
Возможно, на этом этапе вы получите сообщение вида:
то нужно получить билет Kerberos командой:  
+
ipa: ERROR: не получены регистрационные данные Kerberos
  '''kinit admin'''
+
 
 +
В этом случае нужно получить билет Kerberos:
 +
kinit admin
  
 
=== Подготовка к репликации на основном сервере ===
 
=== Подготовка к репликации на основном сервере ===
  '''ipa-replica-prepare dc2.test.dom --ip-address 192.168.76.82'''
+
* Создайте ключи и сертификаты для резервного сервера:
  Directory Manager (existing master) password:  
+
ipa-replica-prepare dc2.test.dom --ip-address 192.168.76.82
  Preparing replica for dc2.test.dom from dc1.test.dom
+
 
  Creating SSL certificate for the Directory Server
+
Directory Manager (existing master) password:  
  Creating SSL certificate for the dogtag Directory Server
+
Preparing replica for dc2.test.dom from dc1.test.dom
  Creating SSL certificate for the Web Server
+
Creating SSL certificate for the Directory Server
  Exporting RA certificate
+
Creating SSL certificate for the dogtag Directory Server
  Copying additional files
+
Creating SSL certificate for the Web Server
  Finalizing configuration
+
Exporting RA certificate
  Packaging replica information into /var/lib/ipa/replica-info-dc2.test.dom.gpg
+
Copying additional files
  Adding DNS records for dc2.test.dom
+
Finalizing configuration
  Using reverse zone 76.168.192.in-addr.arpa.
+
Packaging replica information into /var/lib/ipa/replica-info-dc2.test.dom.gpg
На этом этапе мы  создали ключи и сертификаты для резервного сервера.
+
Adding DNS records for dc2.test.dom
Теперь скопируем их на резервный сервер:
+
Using reverse zone 76.168.192.in-addr.arpa.
  '''scp /var/lib/ipa/replica-info-dc2.test.dom.gpg root@dc2.test.dom:/var/lib/ipa/'''
+
 
 +
* Скопируйте их на резервный сервер:
 +
scp /var/lib/ipa/replica-info-dc2.test.dom.gpg root@dc2.test.dom:/var/lib/ipa/
  
Если мы используем в качестве второго сервера ОС CobaltSX, то нужно выполнить downgrade nss командами:
+
Если второй сервер работает под управлением ОС РОСА «КОБАЛЬТ», выполните downgrade nss:
  
  '''yum remove  firefox thunderbird'''
+
yum remove  firefox thunderbird
  '''yum downgrade nss nss-tools nss-sysinit nss-util'''
+
yum downgrade nss nss-tools nss-sysinit nss-util
  
 
=== Запуск сервера репликации ===
 
=== Запуск сервера репликации ===
Инициализируем сервер репликации (команда выполняется на резервном сервере):
+
Инициализируйте сервер репликации, выполнив на резервном сервере следующую команду:
  
  '''ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-dc2.test.dom.gpg'''
+
ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-dc2.test.dom.gpg
  
На данном этапе вначале идет проверка доступности портов на основном сервере. Если какие-либо порты не доступны, проверьте настройки межсетевого экрана, если таковой имеется между серверами, а также сервиса блокировки портов iptables на обоих серверах.
+
Сначала будет выполнена проверка доступности портов на основном сервере. Если какие-либо порты не доступны, проверьте настройки межсетевого экрана, если таковой существует между серверами, а также сервиса блокировки портов ''iptables'' на обоих серверах.
  
 
[[Категория:ROSA Enterprise Linux Server]]
 
[[Категория:ROSA Enterprise Linux Server]]

Текущая версия на 17:58, 28 ноября 2018

Применимость

Назначение

В этой инструкции описан процесс развёртывания резервного сервера IPA (Identification, Policy and Audit) при наличии основного. Предполагается, что у вас уже работает основной сервер домена, настроенный по инструкции.

Список поддерживаемых ОС

  • ROSA Enterprise Linux Server (RELS) версии 6.6 и выше
  • РОСА «КОБАЛЬТ»

Если основной сервер домена развёрнут на ОС РОСА «КОБАЛЬТ», то репликация возможна на любую из поддерживаемых ОС, т. е как непосредственно на сам «КОБАЛЬТ», так и на RELS.

Настройки серверов

Предполагается, что на момент настройки репликации у вас есть сервер с установленной ОС RELS или РОСА «КОБАЛЬТ» в варианте «Минимальная». Все команды выполняются от имени администратора (root).

В примерах, приводимых в данной инструкции, предполагается, что серверы имеют следующие сетевые параметры:

Основной сервер: 

Имя: dc1.test.dom
IP: 192.168.76.47/24

Резервный сервер: 

Имя: dc2.test.dom
IP: 192.168.76.82/24

Установка FreeIPA

Настройка DNS и hostname

  • Убедитесь, что в качестве первого DNS-сервера используется будущий сервер домена IPA. Если в сети планируется использовать короткие имена машин, также должна быть прописана корректная опция domain или search. В файле /etc/resolv.conf должны содержаться записи следующего вида:
search test.dom
nameserver 192.168.76.47

Убедитесь, что имя сервера (hostname) записано строчными буквами. Имя сервера задаётся в файле /etc/sysconfig/network. 

cat /etc/sysconfig/network

HOSTNAME=dc2.test.dom
NETWORKING=yes
NISDOMAIN=test.dom

Установка оснастки

  • Установите оснастку для сервера IPA:
yum install bind-dyndb-ldap bind ipa-server
  • Проверьте корректность сетевых параметров в файле /etc/hosts:
cat /etc/hosts

Содержимое файла должно иметь следующий вид: 

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1   localhost localhost.localdomain localhost6 localhost6.localdomain6 
192.168.76.82  dc2.test.dom dc2

Последняя строка должна указывать на сервер.

Настройка репликации

Подготовка

Выполните подготовительные команды: 

rm -f /etc/portreserve/slapd
service portreserve restart
yum remove firefox thunderbird
yum downgrade nss nss-tools nss-sysinit nss-util

Добавление резервного сервера в DNS

Добавить запись о резервном сервере в DNS можно двумя способами.

  • Способ 1. Подключитесь с серверу домена с помощью браузера и воспользуйтесь графической утилитой управления доменом «Identity Managment»:

RELS FreeIPA2.png

  • Способ 2. На основном сервере IPA выполните следующую команду:
ipa dnsrecord-add test.dom dc2 --a-rec 192.168.76.82

Возможно, на этом этапе вы получите сообщение вида: 

ipa: ERROR: не получены регистрационные данные Kerberos

В этом случае нужно получить билет Kerberos: 

kinit admin

Подготовка к репликации на основном сервере

  • Создайте ключи и сертификаты для резервного сервера:
ipa-replica-prepare dc2.test.dom --ip-address 192.168.76.82

Directory Manager (existing master) password: 
Preparing replica for dc2.test.dom from dc1.test.dom
Creating SSL certificate for the Directory Server
Creating SSL certificate for the dogtag Directory Server
Creating SSL certificate for the Web Server
Exporting RA certificate
Copying additional files
Finalizing configuration
Packaging replica information into /var/lib/ipa/replica-info-dc2.test.dom.gpg
Adding DNS records for dc2.test.dom
Using reverse zone 76.168.192.in-addr.arpa.
  • Скопируйте их на резервный сервер:
scp /var/lib/ipa/replica-info-dc2.test.dom.gpg root@dc2.test.dom:/var/lib/ipa/

Если второй сервер работает под управлением ОС РОСА «КОБАЛЬТ», выполните downgrade nss: 

yum remove  firefox thunderbird
yum downgrade nss nss-tools nss-sysinit nss-util

Запуск сервера репликации

Инициализируйте сервер репликации, выполнив на резервном сервере следующую команду: 

ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-dc2.test.dom.gpg

Сначала будет выполнена проверка доступности портов на основном сервере. Если какие-либо порты не доступны, проверьте настройки межсетевого экрана, если таковой существует между серверами, а также сервиса блокировки портов iptables на обоих серверах.

Источник — «http://wiki.rosalab.ru/ru/index.php?title=Репликация_домена_IPA_в_ОС_RELS_и_«КОБАЛЬТ»&oldid=17741»