Replika je klon konkrétního serveru FreeIPA. Server a replika sdílejí stejné interní informace o uživatelích, počítačích, certifikátech a nakonfigurovaných zásadách. Tato data se zkopírují ze serveru do repliky v procesu zvaném replikace . Dvě instance Directory Server používané serverem FreeIPA – instance Directory Server používaná serverem FreeIPA jako úložiště dat a instance Directory Server používaná systémem Dogtag Certificate System k ukládání informací o certifikátu – jsou replikovány do odpovídajících používaných instancí spotřebitelského Directory Server. replikou FreeIPA.
Replikace FreeIPA eliminuje jediný bod selhání. Když máte nastavení repliky FreeIPA, klienti FreeIPA mohou pokračovat v ověřování, i když je server mimo provoz.
Měli byste mít FreeIPA Server již nainstalovaný a plně funkční s testovacími účty. Pro instalaci serveru FreeIPA si prostudujte tuto příručku:Jak nainstalovat a nakonfigurovat FreeIPA na Rocky Linux/Centos 8
Jakmile máte nainstalovaný a nakonfigurovaný server FreeIPA, můžete spustit replikaci FreeIPA.
Související obsah
- Jak spravovat uživatele a skupiny na serveru FreeIPA
- Jak nainstalovat klienta FreeIPA na Fedora 35
- Jak nainstalovat klienta FreeIPA na Rocky Linux/Alma Linux/CentOS 8
- Jak nainstalovat a nakonfigurovat FreeIPA na Rocky Linux/Centos
- Jak nainstalovat a nakonfigurovat klienta FreeIPA na Ubuntu 20.04
Předpoklady
Chcete-li pokračovat, ujistěte se, že máte:
- Server FreeIPA k replikaci. Podívejte se na průvodce, jak nastavit zde.
- Aktualizovaný server Rocky Linux/Alma Linux/Centos 8
- Přístup sudo na serveru
Moje nastavení
Mám primární server FreeIPA s názvem hostitele ipa.citizix.com a IP 10.2.40.149 a replika bude nakonfigurována na ipa-replica.citizix.com s IP 10.2.40.72 .
Mistr IPA:
Hostname: ipa.citizix.com
IP: 10.2.40.149Replika IPA
Hostname: ipa-replica.citizix.com
IP: 10.2.40.72Obsah
- Aktualizujte systém
- Nakonfigurujte soubor lokálních hostitelů DNS
- Nastavit název hostitele repliky
- Nastavte správné časové pásmo serveru replik
- Zakažte SELinux
- Nainstalujte a nakonfigurujte klienta FreeIPA
- Nakonfigurujte server FreeIPA
- Konfigurovat na hostiteli replikačního serveru
1. Aktualizujte systém
Pomocí tohoto příkazu zajistíte, že hostitelské balíčky jsou aktuální:
sudo dnf -y update2. Nakonfigurujte soubor DNS local hosts
Na obou serverech se ujistěte, že máte nakonfigurované názvy hostitelů pro každý server. To je důležité, pokud ve své infrastruktuře nemáte aktivní službu DNS.
Otevřete soubor hosts pomocí textového editoru, já používám vim:
sudo vim /etc/hostsPřidejte IP a názvy hostitelů pro servery FreeIPA i replikační servery FreeIPA. Aktualizujte, aby odrážela vaše názvy hostitelů:
10.2.40.149 ipa.citizix.com ipa
10.2.40.72 ipa-replica.citizix.com ipa-replica3. Nastavte název hostitele repliky
Pokud jste na replice nenakonfigurovali název hostitele, použijte tento příkaz:
sudo hostnamectl set-hostname ipa-replica.citizix.comPotvrďte tímto:
$ hostnamectl
Static hostname: ipa-replica.citizix.com
Icon name: computer-vm
Chassis: vm
Machine ID: ee3563997878469ebfcc3f721aec3c66
Boot ID: 09df51e3153943698ccd5b902b5aa89e
Virtualization: kvm
Operating System: Rocky Linux 8.4 (Green Obsidian)
CPE OS Name: cpe:/o:rocky:rocky:8.4:GA
Kernel: Linux 4.18.0-305.3.1.el8_4.x86_64
Architecture: x86-644. Nastavte správné časové pásmo serveru replik
také musíte mít správné časové pásmo. Server FreeIPA také poběží službu NTP a správné časové pásmo zajistí, že budete mít na serveru správný čas.
Pomocí tohoto příkazu nastavíte časové pásmo. Aktualizujte své časové pásmo:
sudo timedatectl set-timezone Africa/NairobiPotvrďte, že je správně nakonfigurován:
$ timedatectl
Local time: Fri 2021-11-12 20:24:33 EAT
Universal time: Fri 2021-11-12 17:24:33 UTC
RTC time: Fri 2021-11-12 17:24:31
Time zone: Africa/Nairobi (EAT, +0300)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no5. Zakázat SELinux
Pokud nechcete nastavovat SELinux, můžeme jej uvést do permisivního režimu.
Otevřete konfigurační soubor SELinux pomocí svého oblíbeného textového editoru
sudo vim /etc/selinux/configVyhledejte následující řádek:
SELINUX=enforcing
Změňte hodnotu na permisive :
SELINUX=permisiveSpusťte také následující příkaz pro nastavení permisivního režimu bez restartu:
sudo setenforce 06. Nainstalujte a nakonfigurujte klienta FreeIPA
Pomocí tohoto příkazu nainstalujte balíčky klienta FreeIPA.
sudo dnf module -y install idm:DL1/clientinstalačního klienta s uvedením serveru FreeIPA a názvu domény
sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.comDalší informace o konfiguraci klientské pokladny naleznete v této příručce zde.
7. Nakonfigurujte server FreeIPA
Na hlavním hostiteli FreeIPA přidejte hostitele replikace do skupiny:ipaservers . Hostitel pasteru potřebuje vyřešit rozlišení adresy na hostitele repliky.
Potvrďte dosažitelnost
$ ping ipa-replica.citizix.com
PING ipa-replica.citizix.com (10.2.40.72) 56(84) bytes of data.
64 bytes from ipa-replica.citizix.com (10.2.40.72): icmp_seq=1 ttl=64 time=1.42 ms
64 bytes from ipa-replica.citizix.com (10.2.40.72): icmp_seq=2 ttl=64 time=0.279 ms
^C
--- ipa-replica.citizix.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.279/0.849/1.419/0.570 msTato operace vyžaduje přístup správce. Nejprve získejte lístek Kerberos.
kinit admin
Poté můžete hostitele přidat do ipaservers hostitelská skupina:
ipa hostgroup-add-member ipaservers --hosts ipa-replica.citizix.comToto je výstup na mém serveru
$ ipa hostgroup-add-member ipaservers --hosts ipa-replica.citizix.com
Host-group: ipaservers
Description: IPA server hosts
Member hosts: ipa.citizix.com, ipa-replica.citizix.com
-------------------------
Number of members added 1
-------------------------Můžete potvrdit, že replika byla přidána do webového uživatelského rozhraní FreeIPA.
Pokud máte nainstalovanou a povolenou bránu firewall, přidejte službu replikace:
firewall-cmd --add-service=freeipa-replication
firewall-cmd --runtime-to-permanent8. Konfigurace na hostiteli replikačního serveru
Když je vše nastaveno, nemůžeme konfigurovat replikaci. Nejprve nainstalujte balíček FreeIPA Server.
sudo dnf module install -y idm:DL1/serverPokud máte nainstalovaný firewall a firewalld běží, povolte služby:
firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,freeipa-replication}
firewall-cmd --runtime-to-permanentNyní nastavte replikaci pomocí tohoto příkazu:
sudo ipa-replica-installToto je výstup na mém serveru
$ sudo ipa-replica-install
Run connection check to master
Connection check OK
Disabled p11-kit-proxy
Configuring directory server (dirsrv). Estimated time: 30 seconds
[1/38]: creating directory server instance
[2/38]: tune ldbm plugin
[3/38]: adding default schema
[4/38]: enabling memberof plugin
[5/38]: enabling winsync plugin
[6/38]: configure password logging
[7/38]: configuring replication version plugin
[8/38]: enabling IPA enrollment plugin
[9/38]: configuring uniqueness plugin
[10/38]: configuring uuid plugin
[11/38]: configuring modrdn plugin
[12/38]: configuring DNS plugin
[13/38]: enabling entryUSN plugin
[14/38]: configuring lockout plugin
[15/38]: configuring topology plugin
[16/38]: creating indices
[17/38]: enabling referential integrity plugin
[18/38]: configuring certmap.conf
[19/38]: configure new location for managed entries
[20/38]: configure dirsrv ccache and keytab
[21/38]: enabling SASL mapping fallback
[22/38]: restarting directory server
[23/38]: creating DS keytab
[24/38]: ignore time skew for initial replication
[25/38]: setting up initial replication
Starting replication, please wait until this has completed.
Update in progress, 3 seconds elapsed
Update succeeded
[26/38]: prevent time skew after initial replication
[27/38]: adding sasl mappings to the directory
[28/38]: updating schema
[29/38]: setting Auto Member configuration
[30/38]: enabling S4U2Proxy delegation
[31/38]: initializing group membership
[32/38]: adding master entry
[33/38]: initializing domain level
[34/38]: configuring Posix uid/gid generation
[35/38]: adding replication acis
[36/38]: activating sidgen plugin
[37/38]: activating extdom plugin
[38/38]: configuring directory to start on boot
Done configuring directory server (dirsrv).
Configuring Kerberos KDC (krb5kdc)
[1/5]: configuring KDC
[2/5]: adding the password extension to the directory
[3/5]: creating anonymous principal
[4/5]: starting the KDC
[5/5]: configuring KDC to start on boot
Done configuring Kerberos KDC (krb5kdc).
Configuring kadmin
[1/2]: starting kadmin
[2/2]: configuring kadmin to start on boot
Done configuring kadmin.
Configuring directory server (dirsrv)
[1/3]: configuring TLS for DS instance
[2/3]: importing CA certificates from LDAP
[3/3]: restarting directory server
Done configuring directory server (dirsrv).
Configuring the web interface (httpd)
[1/21]: stopping httpd
[2/21]: backing up ssl.conf
[3/21]: disabling nss.conf
[4/21]: configuring mod_ssl certificate paths
[5/21]: setting mod_ssl protocol list
[6/21]: configuring mod_ssl log directory
[7/21]: disabling mod_ssl OCSP
[8/21]: adding URL rewriting rules
[9/21]: configuring httpd
Nothing to do for configure_httpd_wsgi_conf
[10/21]: setting up httpd keytab
[11/21]: configuring Gssproxy
[12/21]: setting up ssl
[13/21]: configure certmonger for renewals
[14/21]: publish CA cert
[15/21]: clean up any existing httpd ccaches
[16/21]: configuring SELinux for httpd
[17/21]: create KDC proxy config
[18/21]: enable KDC proxy
[19/21]: starting httpd
[20/21]: configuring httpd to start on boot
[21/21]: enabling oddjobd
Done configuring the web interface (httpd).
Configuring ipa-otpd
[1/2]: starting ipa-otpd
[2/2]: configuring ipa-otpd to start on boot
Done configuring ipa-otpd.
Custodia uses 'ipa.citizix.com' as master peer.
Configuring ipa-custodia
[1/4]: Generating ipa-custodia config file
[2/4]: Generating ipa-custodia keys
[3/4]: starting ipa-custodia
[4/4]: configuring ipa-custodia to start on boot
Done configuring ipa-custodia.
Configuring certificate server (pki-tomcatd)
[1/2]: configure certmonger for renewals
[2/2]: Importing RA key
Done configuring certificate server (pki-tomcatd).
Configuring Kerberos KDC (krb5kdc)
[1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
Applying LDAP updates
Upgrading IPA:. Estimated time: 1 minute 30 seconds
[1/10]: stopping directory server
[2/10]: saving configuration
[3/10]: disabling listeners
[4/10]: enabling DS global lock
[5/10]: disabling Schema Compat
[6/10]: starting directory server
[7/10]: upgrading server
[8/10]: stopping directory server
[9/10]: restoring configuration
[10/10]: starting directory server
Done.
Finalize replication settings
Restarting the KDC
WARNING: The CA service is only installed on one server (ipa.citizix.com).
It is strongly recommended to install it on another server.
Run ipa-ca-install(1) on another master to accomplish this.
The ipa-replica-install command was successfulPo dokončení normálního nastavení replikace je možné najít existující uživatelské účty nebo přidat nové účty na Replication Host.
Nejprve získejte lístek kerberos:
$ kinit admin
Password for [email protected]:Poté vyhledejte uživatele:
$ ipa user-find
---------------
3 users matched
---------------
User login: admin
Last name: Administrator
Home directory: /home/admin
Login shell: /bin/bash
Principal alias: [email protected], [email protected]
UID: 1063800000
GID: 1063800000
Account disabled: False
User login: etowett
First name: Eutychus
Last name: Towett
Home directory: /home/etowett
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
Email address: [email protected]
UID: 1063800001
GID: 1063800001
Account disabled: False
User login: kip
First name: Kipkoech
Last name: Towett
Home directory: /home/kip
Login shell: /bin/bash
Principal name: [email protected]
Principal alias: [email protected]
Email address: [email protected]
UID: 1063800003
GID: 1063800003
Account disabled: False
----------------------------
Number of entries returned 3
----------------------------9. Odebírání repliky FreeIPA
Chcete-li odebrat FreeIPA, nejprve ji odinstalujte na serveru pomocí:
# ipa-server-install --uninstallPoté odstraňte server ze skupiny ipaservers:
# ipa-replica-manage del ipa-replica.citizix.com --force
# ipa hostgroup-remove-member ipaservers --hosts ipa-replica.citizix.comV této příručce jsme úspěšně spravovali repliku FreeIPA.