티스토리 뷰

IPA Server FreeIPA 복제 설정

 

FreeIPA 복제 설정입니다.




1. 복제 서버 호스트에서 FreeIPA 서버를 설치하고 DNS 조회 시설을 구축 한 FreeIPA 서버를 향해 둡니다.


[root@repl01 ~]# yum -y install ipa-server ipa-server-dns bind bind-dyndb-ldap


# change DNS to FreeIPA server

[root@repl01 ~]# nmcli c modify eno16777736 ipv4.dns 10.0.0.30 


[root@repl01 ~]# nmcli c down eno16777736; nmcli c up eno16777736 




2. FreeIPA 서버에서 복제 서버와 호스트의 등록 등을 실시해야합니다.


# ipa dnsrecord-add [domain name] [record name] [record type] [record]

[root@cent7 ~]# ipa dnsrecord-add srv.world repl01 --a-rec 10.0.0.61 

  Record name: repl01

  A record: 10.0.0.61


[root@cent7 ~]# ipa-replica-prepare repl01.srv.world --ip-address 10.0.0.61 

Directory Manager (existing master) password:     # Directory Manager password


Preparing replica for repl01.srv.world from cent7.srv.world

Creating SSL certificate for the Directory Server

Creating SSL certificate for the dogtag Directory Server

Creating SSL certificate for the Web Server

Exporting RA certificate

Copying additional files

Finalizing configuration

Packaging replica information into /var/lib/ipa/replica-info-repl01.srv.world.gpg

Adding DNS records for repl01.srv.world

Using reverse zone 0.0.10.in-addr.arpa.


# 생성 된 키를 복제하는 호스트로 전송

[root@cent7 ~]# scp /var/lib/ipa/replica-info-repl01.srv.world.gpg root@repl01.srv.world:/var/lib/ipa/ 

root@repl01.srv.world's password:

replica-info-repl01.srv.world.gpg 100% 35KB 34.6KB/s 00:00




3. FreeIPA 서버 측에서 Firewalld을 사용하고있는 경우 , FreeIPA 복제의 허가가 필요합니다.


[root@cent7 ~]# firewall-cmd --add-service=freeipa-replication --permanent 

success


[root@cent7 ~]# firewall-cmd --reload 

success




4. FreeIPA 복제 서버 호스트에서 Firewalld을 사용하고있는 경우 , FreeIPA 관련 서비스 권한이 필요합니다.


[root@repl01 ~]# firewall-cmd --add-service={ssh,dns,freeipa-ldap,freeipa-ldaps,freeipa-replication} --permanent 

success


[root@repl01 ~]# firewall-cmd --reload 

success




5. FreeIPA 복제 서버 호스트에서 복제 서버로 설정합니다. 


다음은 DNS 설정을 "--no-forwarders"라고하고 있습니다 만, forwarder를 설정하는 경우 "--forwarder = xxxx"를 지정합니다.

[root@repl01 ~]# ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-repl01.srv.world.gpg 

Directory Manager (existing master) password:     # Directory Manager password


Run connection check to master

Check connection from replica to remote master 'cent7.srv.world':

   Directory Service: Unsecure port (389): OK

   Directory Service: Secure port (636): OK

   Kerberos KDC: TCP (88): OK

   Kerberos Kpasswd: TCP (464): OK

   HTTP Server: Unsecure port (80): OK

   HTTP Server: Secure port (443): OK

   PKI-CA: Directory Service port (7389): OK


The following list of ports use UDP protocol and would need to be

checked manually:

   Kerberos KDC: UDP (88): SKIPPED

   Kerberos Kpasswd: UDP (464): SKIPPED


Connection from replica to master is OK.

Start listening on required ports for remote master check

Get credentials to log in to remote master

admin@SRV.WORLD password:     # admin password


Execute check on remote master

.....

.....

Global DNS configuration in LDAP server is empty

You can use 'dnsconfig-mod' command to set global DNS options that

would override settings in local named.conf files


Restarting the web server




6. 복제 서버에서 Kerberos 티켓을 검색하고 데이터가 참조 할 수 있는지 확인합니다. 정상적으로 데이터가 참조 할 수있는 경우 복제 설정이 완료됩니다. 

IPA 클라이언트에 대해서는 특별한 추가 설정이 필요없이 하나의 서버가 다운 된 경우에도 인증은 계속 가능합니다.


[root@repl01 ~]# kinit admin 

Password for admin@SRV.WORLD:     # admin password


[root@repl01 ~]# klist 

Ticket cache: KEYRING:persistent:0:0

Default principal: admin@SRV.WORLD


Valid starting       Expires              Service principal

03/21/2015 15:13:38  03/24/2015 15:13:35  krbtgt/SRV.WORLD@SRV.WORLD


[root@repl01 ~]# ipa user-find 

---------------

4 users matched

---------------

  User login: admin

  Last name: Administrator

  Home directory: /home/admin

  Login shell: /bin/bash

  UID: 1219600000

  GID: 1219600000

  Account disabled: False

  Password: True

  Kerberos keys available: True


  User login: cent

  First name: CentOS

  Last name: Linux

  Home directory: /home/cent

  Login shell: /bin/bash

  Email address: cent@srv.world

  UID: 1219600001

  GID: 1219600001

  Account disabled: False

  Password: True

  Kerberos keys available: True

.....

.....


※ download & Next Menu



저작자 표시 비영리 변경 금지
신고
댓글