После установки контроллера домена, первым делом возникает вопрос отказоустойчивости. В этой статье мы установим реплику FreeIPA рядом с основным.
Итак исходные данные:
подсеть: 192.168.50.0/24
шлюз: 192.168.50.1
контроллер домена: dc01.astra.ipa - 192.168.50.10
реплика - dc02.astra.ipa - 192.168.50.20
Размер ОЗУ - не менее 4Gb.
Ровно при 4Gb при установке реплики уже выдаст предупреждение.
Мануал к установке требует изначально вручную установить PTR запись в обратной DNS зоне для реплики контроллера домена.
В имя записи пишем последний октет ip адреса. В поле hostname пишем полное имя реплики контроллера домена (в нашем случае dc02.astra.ipa.) не забывайте точку в конце имени.
Подготовка ОС
Теперь подготавливаем систему, настраивая "джентельменский набор".
Устанавливаем статический ip-адрес, указывая DNS-сервером контроллер домена, и домен поиска
Адрес - 192.168.50.20
DNS - 192.168.50.10
Домены поиска - astra.ipa
Проверьте доступность DNS, выполнив пинг по короткому и полному имени.
ping dc01
ping dc01.astra.ipa
Меняем имя компьютера на полное доменное имя- dc02.astra.ipa
sudo hostnamectl set-hostname dc02.astra.ipa
Не забываем прописать это же имя в файле /etc/hosts
sudo nano /etc/hosts
После смены имени компьютера рекомендуется все-таки перезагрузиться.
Установка реплики
Теперь машина готова к установке FreeIPA. Раз установку реплики мы будем делать в консоли, то и установим консольные пакеты.
sudo apt install astra-freeipa-server astra-freeipa-client
Мы ставим и серверные пакеты и клиентские. Потому что сначала вводим компьютер как клиент, а затем повышаем ему роль.
Если во время установки выходят информационные окошки - жмем Enter.
После установки пакетов, введем компьютер в домен командой:
sudo astra-freeipa-client -d astra.ipa
ключ -d возьмет имя домена. А имя компьютера возьмет существующее
Все, теперь в FreeIPA можно увидеть что компьютер успешно введен в домен. Пришло время основного - создание реплики.
В инструкции Астры указаны две команды. С установленной службой сертификации DogTag и без него. Если служба установлена - выполнить команду с параметром --dogtag. Если службы нет, перенести сертификат на реплику вручную.
Как узнать есть ли данная служба? Выполните команду
sudo ipactl status
За службу DogTag отвечает pki-tomcatd Service. Так как по умолчанию в Астре FreeIPA устанавливается с этой службой, рассмотрим установку с ней.
Для запуска установки реплики вводим команду
sudo astra-freeipa-replica --dogtag
Долго долго ждем, и смотрим на сотни строчек, чтоб в конце увидеть следующее:
Даже уже без перезагрузки можем получить билет админа и посмотреть на хосты:
kinit admin
ipa hostgroup-show ipaservers
Ну все, теперь можем перезагружать реплику, и смотреть, что доступны оба веб интерфейса основного контроллера и реплики
https://dc01.astra.ipa
https://dc02.astra.ipa
Так же в веб-интерфейсе должны видеть в топологии оба контроллера домена:
Проверяем на реплике что данные перенеслись. Пробуем создать пользователя на контроллере и увидеть, что и на реплике пользователь создался.
На этом все, но не забывайте делать бэкапы. Лишним уж точно не будет
sudo ipa-backup