So konfigurieren Sie die FreeIPA-Replikation unter Rocky Linux/Alma Linux/Centos 8

Ein Replikat ist ein Klon eines bestimmten FreeIPA-Servers. Der Server und das Replikat nutzen dieselben internen Informationen über Benutzer, Computer, Zertifikate und konfigurierte Richtlinien. Diese Daten werden in einem Prozess namens Replikation vom Server auf das Replikat kopiert . Die beiden von einem FreeIPA-Server verwendeten Verzeichnisserverinstanzen – die vom FreeIPA-Server als Datenspeicher verwendete Verzeichnisserverinstanz und die vom Dogtag-Zertifikatsystem zum Speichern von Zertifikatsinformationen verwendete Verzeichnisserverinstanz – werden auf die entsprechenden verwendeten Consumer-Verzeichnisserverinstanzen repliziert durch die FreeIPA-Replik.

Die FreeIPA-Replikation eliminiert Single Point of Failure. Wenn Sie eine FreeIPA-Replik eingerichtet haben, können sich FreeIPA-Clients weiterhin authentifizieren, selbst wenn ein Server ausgefallen ist.

FreeIPA Server sollte bereits installiert und voll funktionsfähig sein, mit Testkonten. Informationen zur Installation von FreeIPA Server finden Sie in diesem Handbuch:How to Install and Configure FreeIPA on Rocky Linux/Centos 8

Sobald Sie den FreeIPA-Server installiert und konfiguriert haben, können Sie die FreeIPA-Replikation starten.

Verwandte Inhalte

• So verwalten Sie Benutzer und Gruppen in FreeIPA Server
• So installieren Sie den FreeIPA-Client auf Fedora 35
• So installieren Sie den FreeIPA-Client unter Rocky Linux/Alma Linux/CentOS 8
• So installieren und konfigurieren Sie FreeIPA auf Rocky Linux/Centos
• So installieren und konfigurieren Sie den FreeIPA-Client unter Ubuntu 20.04

Voraussetzungen

Um mitzumachen, stellen Sie sicher, dass Sie Folgendes haben:

• Ein FreeIPA-Server zum Replizieren. Sehen Sie sich hier die Anleitung zur Einrichtung an.
• Ein aktualisierter Rocky Linux/Alma Linux/Centos 8-Server
• Sudo-Zugriff im Server

Mein Setup

Ich habe einen primären FreeIPA-Server mit dem Hostnamen ipa.citizix.com und IP 10.2.40.149 und das Replikat wird auf ipa-replica.citizix.com konfiguriert mit IP 10.2.40.72 .

IPA-Master:

Hostname: ipa.citizix.com
IP: 10.2.40.149

IPA-Replik

Hostname: ipa-replica.citizix.com
IP: 10.2.40.72

Inhaltsverzeichnis

1. Aktualisiere das System
2. Lokale DNS-Hostdatei konfigurieren
3. Replik-Hostnamen festlegen
4. Richten Sie die richtige Zeitzone für den Replica-Server ein
5. SELinux deaktivieren
6. Installieren und konfigurieren Sie den FreeIPA-Client
7. FreeIPA-Server konfigurieren
8. Auf dem Replication Server-Host konfigurieren

1. Aktualisieren Sie das System

Verwenden Sie diesen Befehl, um sicherzustellen, dass die Hostpakete auf dem neuesten Stand sind:

sudo dnf -y update

2. Lokale DNS-Hostdatei konfigurieren

Stellen Sie auf beiden Servern sicher, dass Sie Hostnamen für jeden Server konfiguriert haben. Dies ist wichtig, wenn Sie keinen aktiven DNS-Dienst in Ihrer Infrastruktur haben.

Öffnen Sie die Hosts-Datei mit Ihrem Texteditor, ich verwende vim:

sudo vim /etc/hosts

Fügen Sie die IP-Adresse und die Hostnamen für beide FreeIPA-Server und die FreeIPA-Replikatserver hinzu. Aktualisieren Sie, um Ihre Hostnamen widerzuspiegeln:

10.2.40.149 ipa.citizix.com ipa
10.2.40.72 ipa-replica.citizix.com ipa-replica

3. Legen Sie den Replikat-Hostnamen fest

Wenn Sie den Hostnamen auf Ihrem Replikat nicht konfiguriert haben, verwenden Sie diesen Befehl:

sudo hostnamectl set-hostname ipa-replica.citizix.com

Bestätigen Sie hiermit:

$ hostnamectl
   Static hostname: ipa-replica.citizix.com
         Icon name: computer-vm
           Chassis: vm
        Machine ID: ee3563997878469ebfcc3f721aec3c66
           Boot ID: 09df51e3153943698ccd5b902b5aa89e
    Virtualization: kvm
  Operating System: Rocky Linux 8.4 (Green Obsidian)
       CPE OS Name: cpe:/o:rocky:rocky:8.4:GA
            Kernel: Linux 4.18.0-305.3.1.el8_4.x86_64
      Architecture: x86-64

4. Richten Sie die richtige Zeitzone für den Replica-Server ein

Sie müssen auch die richtige Zeitzone haben. Der FreeIPA-Server führt auch den NTP-Dienst aus und die richtige Zeitzone stellt sicher, dass Sie die richtige Zeit auf dem Server haben.

Verwenden Sie diesen Befehl, um die Zeitzone festzulegen. Aktualisieren Sie auf Ihre Zeitzone:

sudo timedatectl set-timezone Africa/Nairobi

Bestätigen Sie, dass es richtig konfiguriert ist:

$ timedatectl
               Local time: Fri 2021-11-12 20:24:33 EAT
           Universal time: Fri 2021-11-12 17:24:33 UTC
                 RTC time: Fri 2021-11-12 17:24:31
                Time zone: Africa/Nairobi (EAT, +0300)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no

5. SELinux deaktivieren

Wenn Sie SELinux nicht einrichten möchten, können wir es in den zulässigen Modus versetzen.

Öffnen Sie die SELinux-Konfigurationsdatei mit Ihrem bevorzugten Texteditor

sudo vim /etc/selinux/config

Suchen Sie die folgende Zeile:

SELINUX=enforcing

Ändern Sie den Wert in permisive :

SELINUX=permisive

Führen Sie außerdem den folgenden Befehl aus, um den zulässigen Modus ohne Neustart festzulegen:

sudo setenforce 0

6. Installieren und konfigurieren Sie den FreeIPA-Client

Installieren Sie FreeIPA Client-Pakete mit diesem Befehl.

sudo dnf module -y install idm:DL1/client

Setup-Client mit Angabe des FreeIPA-Servers und Domänennamens

sudo ipa-client-install --server=ipa.citizix.com --domain ipa.citizix.com

Weitere Informationen zur Konfiguration des Client-Checkout finden Sie in dieser Anleitung hier.

7. FreeIPA-Server konfigurieren

Fügen Sie auf dem FreeIPA-Masterhost einen Replikationshost zur Gruppe hinzu:ipaservers . Der Paster-Host muss die Adressauflösung zum Replica-Host auflösen.

Erreichbarkeit bestätigen

$ ping ipa-replica.citizix.com
PING ipa-replica.citizix.com (10.2.40.72) 56(84) bytes of data.
64 bytes from ipa-replica.citizix.com (10.2.40.72): icmp_seq=1 ttl=64 time=1.42 ms
64 bytes from ipa-replica.citizix.com (10.2.40.72): icmp_seq=2 ttl=64 time=0.279 ms
^C
--- ipa-replica.citizix.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.279/0.849/1.419/0.570 ms

Dieser Vorgang erfordert Administratorzugriff. Fordern Sie zunächst ein Kerberos-Ticket an.

kinit admin

Dann können Sie den Host jetzt zu den ipaservers hinzufügen Hostgruppe:

ipa hostgroup-add-member ipaservers --hosts ipa-replica.citizix.com

Dies ist die Ausgabe auf meinem Server

$ ipa hostgroup-add-member ipaservers --hosts ipa-replica.citizix.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: ipa.citizix.com, ipa-replica.citizix.com
-------------------------
Number of members added 1
-------------------------

Sie können bestätigen, dass das Replikat in der FreeIPA-Webbenutzeroberfläche hinzugefügt wurde.

Wenn Sie eine Firewall installiert und aktiviert haben, fügen Sie den Replikationsdienst hinzu:

firewall-cmd --add-service=freeipa-replication
firewall-cmd --runtime-to-permanent

8. Auf dem Replication Server-Host konfigurieren

Wenn alles eingerichtet ist, können wir die Replikation nicht konfigurieren. Installieren Sie zuerst das FreeIPA Server-Paket.

sudo dnf module install -y idm:DL1/server

Wenn Sie Firewalld installiert haben und Firewalld ausgeführt wird, erlauben Sie die Dienste:

firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,freeipa-replication}
firewall-cmd --runtime-to-permanent

Richten Sie nun die Replikation mit diesem Befehl ein:

sudo ipa-replica-install

Dies ist die Ausgabe auf meinem Server

$ sudo ipa-replica-install
Run connection check to master
Connection check OK
Disabled p11-kit-proxy
Configuring directory server (dirsrv). Estimated time: 30 seconds
  [1/38]: creating directory server instance
  [2/38]: tune ldbm plugin
  [3/38]: adding default schema
  [4/38]: enabling memberof plugin
  [5/38]: enabling winsync plugin
  [6/38]: configure password logging
  [7/38]: configuring replication version plugin
  [8/38]: enabling IPA enrollment plugin
  [9/38]: configuring uniqueness plugin
  [10/38]: configuring uuid plugin
  [11/38]: configuring modrdn plugin
  [12/38]: configuring DNS plugin
  [13/38]: enabling entryUSN plugin
  [14/38]: configuring lockout plugin
  [15/38]: configuring topology plugin
  [16/38]: creating indices
  [17/38]: enabling referential integrity plugin
  [18/38]: configuring certmap.conf
  [19/38]: configure new location for managed entries
  [20/38]: configure dirsrv ccache and keytab
  [21/38]: enabling SASL mapping fallback
  [22/38]: restarting directory server
  [23/38]: creating DS keytab
  [24/38]: ignore time skew for initial replication
  [25/38]: setting up initial replication
Starting replication, please wait until this has completed.
Update in progress, 3 seconds elapsed
Update succeeded

  [26/38]: prevent time skew after initial replication
  [27/38]: adding sasl mappings to the directory
  [28/38]: updating schema
  [29/38]: setting Auto Member configuration
  [30/38]: enabling S4U2Proxy delegation
  [31/38]: initializing group membership
  [32/38]: adding master entry
  [33/38]: initializing domain level
  [34/38]: configuring Posix uid/gid generation
  [35/38]: adding replication acis
  [36/38]: activating sidgen plugin
  [37/38]: activating extdom plugin
  [38/38]: configuring directory to start on boot
Done configuring directory server (dirsrv).
Configuring Kerberos KDC (krb5kdc)
  [1/5]: configuring KDC
  [2/5]: adding the password extension to the directory
  [3/5]: creating anonymous principal
  [4/5]: starting the KDC
  [5/5]: configuring KDC to start on boot
Done configuring Kerberos KDC (krb5kdc).
Configuring kadmin
  [1/2]: starting kadmin
  [2/2]: configuring kadmin to start on boot
Done configuring kadmin.
Configuring directory server (dirsrv)
  [1/3]: configuring TLS for DS instance
  [2/3]: importing CA certificates from LDAP
  [3/3]: restarting directory server
Done configuring directory server (dirsrv).
Configuring the web interface (httpd)
  [1/21]: stopping httpd
  [2/21]: backing up ssl.conf
  [3/21]: disabling nss.conf
  [4/21]: configuring mod_ssl certificate paths
  [5/21]: setting mod_ssl protocol list
  [6/21]: configuring mod_ssl log directory
  [7/21]: disabling mod_ssl OCSP
  [8/21]: adding URL rewriting rules
  [9/21]: configuring httpd
Nothing to do for configure_httpd_wsgi_conf
  [10/21]: setting up httpd keytab
  [11/21]: configuring Gssproxy
  [12/21]: setting up ssl
  [13/21]: configure certmonger for renewals
  [14/21]: publish CA cert
  [15/21]: clean up any existing httpd ccaches
  [16/21]: configuring SELinux for httpd
  [17/21]: create KDC proxy config
  [18/21]: enable KDC proxy
  [19/21]: starting httpd
  [20/21]: configuring httpd to start on boot
  [21/21]: enabling oddjobd
Done configuring the web interface (httpd).
Configuring ipa-otpd
  [1/2]: starting ipa-otpd
  [2/2]: configuring ipa-otpd to start on boot
Done configuring ipa-otpd.
Custodia uses 'ipa.citizix.com' as master peer.
Configuring ipa-custodia
  [1/4]: Generating ipa-custodia config file
  [2/4]: Generating ipa-custodia keys
  [3/4]: starting ipa-custodia
  [4/4]: configuring ipa-custodia to start on boot
Done configuring ipa-custodia.
Configuring certificate server (pki-tomcatd)
  [1/2]: configure certmonger for renewals
  [2/2]: Importing RA key
Done configuring certificate server (pki-tomcatd).
Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
Applying LDAP updates
Upgrading IPA:. Estimated time: 1 minute 30 seconds
  [1/10]: stopping directory server
  [2/10]: saving configuration
  [3/10]: disabling listeners
  [4/10]: enabling DS global lock
  [5/10]: disabling Schema Compat
  [6/10]: starting directory server
  [7/10]: upgrading server
  [8/10]: stopping directory server
  [9/10]: restoring configuration
  [10/10]: starting directory server
Done.
Finalize replication settings
Restarting the KDC

WARNING: The CA service is only installed on one server (ipa.citizix.com).
It is strongly recommended to install it on another server.
Run ipa-ca-install(1) on another master to accomplish this.

The ipa-replica-install command was successful

Nachdem Sie die normale Einrichtung der Replikation abgeschlossen haben, können Sie vorhandene Benutzerkonten finden oder neue Konten auf dem Replikationshost hinzufügen.

Rufen Sie zuerst das Kerberos-Ticket ab:

$ kinit admin
Password for [email protected]:

Dann Benutzer finden:

$ ipa user-find
---------------
3 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: [email protected], [email protected]
  UID: 1063800000
  GID: 1063800000
  Account disabled: False

  User login: etowett
  First name: Eutychus
  Last name: Towett
  Home directory: /home/etowett
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800001
  GID: 1063800001
  Account disabled: False

  User login: kip
  First name: Kipkoech
  Last name: Towett
  Home directory: /home/kip
  Login shell: /bin/bash
  Principal name: [email protected]
  Principal alias: [email protected]
  Email address: [email protected]
  UID: 1063800003
  GID: 1063800003
  Account disabled: False
----------------------------
Number of entries returned 3
----------------------------

9. Entfernen des FreeIPA-Replikats

Um FreeIPA zu entfernen, deinstallieren Sie es zuerst auf dem Server mit:

# ipa-server-install --uninstall

Löschen Sie dann den Server aus der Gruppe ipaservers:

# ipa-replica-manage del ipa-replica.citizix.com --force
# ipa hostgroup-remove-member ipaservers --hosts ipa-replica.citizix.com

Wir haben in diesem Handbuch erfolgreich eine FreeIPA-Replik verwaltet.