Содержание
FreeIPA: установка и удаление других контроллеров, настройка расположения
Создание и удаление дополнительных контроллеров домена (реплик), в отличие от первого КД, - процедура рутинная и в рабочей инфраструктуре выполняется с определенной периодичностью.
В частности, одним из способов обновления операционной системы на КД является создание нового КД и последующий вывод из эксплуатации старого.
| CPU | 2 |
| RAM | 2GB |
| HDD | 5G |
Подготовка
| Имя сервера | dc2.ipa.aliennet.ru |
| Домен IPA |  введен в домен ipa.aliennet.ru |
| IP-адрес сервера | 192.168.0.12 |
Имеется в наличии (см. FreeIPA: центр сертификации):
server.p12- контейнер с закрытым ключом и цепочкой сертификатов dc2.ipa.aliennet.ru
Корневой сертификат ca.crt в данном случае не нужен.
имя сервера
Добиться локального разрешения имени сервера:
echo "192.168.0.12 dc2.ipa.aliennet.ru dc2" >> /etc/hosts hostname -s # dc2 hostname -f # dc2.ipa.aliennet.ru hostname -d # ipa.aliennet.ru hostname -i # 192.168.0.12 hostname -I # 192.168.0.12
репозиторий и syslog-ng
Отключить расширенный репозиторий (если требуется):
sed -i 's/.*extended.*/#&/' /etc/apt/sources.list
Установить систему журналирования syslog-ng:
apt update
apt install acl logrotate syslog-ng-mod-astra
синхронизация времени
Отключить все механизмы синхронизации времени за исключением chrony:
systemctl --now disable systemd-timesyncd.service apt --purge remove systemd-timesyncd
уровень безопасности
При необходимости изменить на максимальный:
astra-modeswitch set 2 reboot
снапшот/snapshot
сейчас можно зафиксировать состояние сервера
Установка (создание реплики)
Минимальный набор необходимых пакетов:
apt install freeipa-server-dns sssd-tools
На возможные вопросы отвечать нажатием Enter
Отключить режим безопасности web-сервера:
sed -i 's/.*AstraMode.*/AstraMode off/gI' /etc/apache2/apache2.conf # astra-mode-apps disable
Настроить разрешение имен через доступные КД IPA, например:
- /etc/resolv.conf
search ipa.aliennet.ru nameserver 192.168.0.11
Разместить в текущем каталоге файл server.p12 и запустить команду создания реплики:
ipa-replica-install \
--no-host-dns \
--setup-dns \
--skip-mem-check \
--dirsrv-cert-file=./server.p12 \
--http-cert-file=./server.p12 \
--pkinit-cert-file=./server.p12 \
--mkhomedir \
--force-join \
--no-forwarders \
--forward-policy=only \
--no-dnssec-validation
В процессе установки:
- Три раза ввести пароль от контейнера
server.p12(для трех служб домена: Apache/Directory/KDC) - Ввести пароль администратора IPA (admin)
Настройка
Продолжить дальнейшую настройку можно без перезагрузки сервера.