Репликация домена IPA в ОС RELS и «КОБАЛЬТ»

Материал из Rosalab Wiki
Перейти к: навигация, поиск

Применимость

Инструкция предназначена для описания процесса развертывания резервного сервера IPA (Identification Policy and Audit) при условии наличия основного. Инструкция предполагает что у вас уже работает основной сервер домена, настроенный по инструкции «Создание контроллера домена на основе Free IPA на RELS» или «Создание контроллера домена на основе FreeIPA и ОС CobaltSX».

Список поддерживаемых ОС

  • РОСА «КОБАЛЬТ» SX 1.0;
  • ROSA Enterprise Linux Server (RELS) 6.6 и выше.

При этом нужно учитывать, что если основной сервер домена развернут на ОС РОСА «КОБАЛЬТ» SX 1.0, то репликация возможна на любую из поддерживаемых ОС, т.е как непосредственно на сам Коабльт, так и на RELS 6.6-6.8.

Настройки серверов

Предполагается, что на момент настройки репликации у вас есть сервер с установленной ОС RELS 6.8 в варианте «Минимальная» или ОС CobaltSX в варианте «Минимальная». Все приведенные команды и настройки проводятся под учетной записью суперпользователя root. В примерах, приводимых в данной инструкции мы будем предполагать что наш сервера имеют следующие сетевые настройки:

Основной сервер:

 Имя: dc1.test.dom
 IP:192.168.76.47/24

Резервный сервер:

 Имя: dc2.test.dom
 IP:192.168.76.82/24

Установка FreeIPA

Подключение репозитория

Для установки IPA на ОС CobaltSX нужно подключить дополнительный репозиторий. Для этого есть 2 варианта:

  1. в текстовом режиме редактируем файл /etc/yum.repos.d/rels.repo, установив в в секции [rels-base] параметр enabled=1,
  2. в графической среде открыть «Источники программ» (Пуск→Администрирование→Источники программ) и поставить галочку напротив пункта «ROSA Enterprise Linux Server — Base»

RELS FreeIPA1.png

Перед установкой пакетов убедитесь в доступности обоих источников программ. Доступность дополнительного сетевого источника можно проверить командой

 ping mirror.rosalinux.com

Вы должны увидеть примерно следующий вывод:

 # ping mirror.rosalinux.com
 PING mirror.rosalinux.com (195.19.76.246) 56(84) bytes of data.
 64 bytes from 195.19.76.246: icmp_seq=1 ttl=63 time=2.21 ms

Доступность локального репозитория проверяется наличием смонтированного образа установочного диска в каталог /media/ROSA-SX-1.0/, например командой:

 # mount |grep ROSA

Вы должны увидеть следующий вывод:

 # mount |grep ROSA
 /dev/sr0 on /media/ROSA-SX-1.0 type iso9660 (ro,nosuid,nodev,uhelper=udisks,uid=500,gid=500,iocharset=utf8,mode=0400,dmode=0500)

В ОС RELS репозиторий уже подключен после установки ОС.

Настройка DNS и hostname

Убедитесь что в качестве первого DNS сервера у вас используется ваш текущий основной сервер домена IPA. И, если планируется использовать короткие имена машин в сети, то прописана корректная опция domain или search. Для этого в файле /etc/resolv.conf должны быть записи вида:

 search test.dom
 nameserver 192.168.76.47

Убедитесь, что имя сервера (hostname) у Вас задано строчными буквами. Имя сервера задается в файле /etc/sysconfig/network.

 cat /etc/sysconfig/network
 HOSTNAME=dc2.test.dom
 NETWORKING=yes
 NISDOMAIN=test.dom

Установка оснастки

После этого установим оснастку для сервера IPA:

 yum install bind-dyndb-ldap bind ipa-server

Проверим наличие корректных сетевых настроек в файле /etc/hosts. Он должен выглядеть так:

 127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
 ::1   localhost localhost.localdomain localhost6 localhost6.localdomain6 
 192.168.76.82  dc2.test.dom dc2

Нас в первую очередь интересует нижняя строчка, указывающая на наш сервер.

Настройка репликации

Подготовка

Необходимо выполнить подготовительные команды

 rm -f /etc/portreserve/slapd
 service portreserve restart
 yum remove  firefox thunderbird
 yum downgrade nss nss-tools nss-sysinit nss-util

Добавление резервного сервера в DNS

Добавим запись о нашем резервном сервере в DNS. Это можно сделать либо в графической утилите управления доменом «Identity Managment», для чего подсоединиться с серверу домена с помощью веб-браузера

RELS FreeIPA2.png

либо с помощью команды, выполняемой на основном сервере IPA

 ipa dnsrecord-add test.dom dc2 --a-rec 192.168.76.82

Если на этом этапе вы получили сообщение вида:

 ipa: ERROR: не получены регистрационные данные Kerberos

то нужно получить билет Kerberos командой:

 kinit admin

Подготовка к репликации на основном сервере

 ipa-replica-prepare dc2.test.dom --ip-address 192.168.76.82
 Directory Manager (existing master) password: 
 Preparing replica for dc2.test.dom from dc1.test.dom
 Creating SSL certificate for the Directory Server
 Creating SSL certificate for the dogtag Directory Server
 Creating SSL certificate for the Web Server
 Exporting RA certificate
 Copying additional files
 Finalizing configuration
 Packaging replica information into /var/lib/ipa/replica-info-dc2.test.dom.gpg
 Adding DNS records for dc2.test.dom
 Using reverse zone 76.168.192.in-addr.arpa.

На этом этапе мы создали ключи и сертификаты для резервного сервера. Теперь скопируем их на резервный сервер:

 scp /var/lib/ipa/replica-info-dc2.test.dom.gpg root@dc2.test.dom:/var/lib/ipa/ 

Если мы используем в качестве второго сервера ОС CobaltSX, то нужно выполнить downgrade nss командами:

 yum remove  firefox thunderbird
 yum downgrade nss nss-tools nss-sysinit nss-util

Запуск сервера репликации

Инициализируем сервер репликации (команда выполняется на резервном сервере):

 ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-dc2.test.dom.gpg

На данном этапе вначале идет проверка доступности портов на основном сервере. Если какие-либо порты не доступны, проверьте настройки межсетевого экрана, если таковой имеется между серверами, а также сервиса блокировки портов iptables на обоих серверах.