CentOS Stream 8
Sponsored Link

FreeIPA : レプリケーションの設定2021/03/11

 
FreeIPA レプリケーションの設定です。
当例では以下のような環境を例にします。
+----------------------+          |          +----------------------+
| [  FreeIPA Master ]  |10.0.0.30 | 10.0.0.51| [  FreeIPA Replica ] |
|  dlp.ipa.srv.world   +----------+----------+ node01.ipa.srv.world |
|                      |                     |                      |
+----------------------+                     +----------------------+

[1]
[2] FreeIPA マスターホスト上で、レプリカサーバーとしたいホストを [ipaservers] グループに追加します。
また、レプリカサーバーの設定時、マスターホストやレプリカホストは正常に逆引きが可能であることが必要です。
FreeIPA 統合 DNS を使用中 且つ 逆引きゾーン未設定の場合は、以下のように設定します。
[root@dlp ~]#
ipa hostgroup-add-member ipaservers --hosts node01.ipa.srv.world

  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: dlp.ipa.srv.world, node01.ipa.srv.world
-------------------------
Number of members added 1
-------------------------

# FreeIPA 統合 DNS に逆引きゾーン未設定の場合は設定

# 下例は [10.0.0.0/24] の逆引きゾーン

[root@dlp ~]#
ipa dnszone-add 0.0.10.in-addr.arpa
# 逆引きゾーンに PTR レコード追加

[root@dlp ~]#
ipa dnsrecord-add 0.0.10.in-addr.arpa 30 --ptr-rec dlp.ipa.srv.world.

[root@dlp ~]#
ipa dnsrecord-add 0.0.10.in-addr.arpa 51 --ptr-rec node01.ipa.srv.world.
# firewalld 稼働中の場合は以下も設定

[root@dlp ~]#
firewall-cmd --add-service=freeipa-replication --permanent

success
[root@dlp ~]#
firewall-cmd --reload

success
[3] レプリカサーバーとしたいホスト上でレプリケーションの設定をします。
# firewalld 稼働中の場合は事前に設定

[root@node01 ~]#
firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,freeipa-replication} --permanent

success
[root@node01 ~]#
firewall-cmd --reload

success
[root@node01 ~]#
dnf module -y install idm:DL1/dns
# レプリケーション セットアップ

# DNS フォワーダーを設定する場合は [--forwarder=xxx.xxx.xxx.xxx] を指定

[root@node01 ~]#
ipa-replica-install --setup-ca --setup-dns --no-forwarders

Run connection check to master
Connection check OK
Disabled p11-kit-proxy
Configuring directory server (dirsrv). Estimated time: 30 seconds
  [1/38]: creating directory server instance
  [2/38]: tune ldbm plugin
  [3/38]: adding default schema
  
.....
.....

  [6/7]: creating replica keys
  [7/7]: configuring ipa-dnskeysyncd to start on boot
Done configuring DNS key synchronization service (ipa-dnskeysyncd).
Restarting ipa-dnskeysyncd
Restarting named
Updating DNS system records

Global DNS configuration in LDAP server is empty
You can use 'dnsconfig-mod' command to set global DNS options that
would override settings in local named.conf files

The ipa-replica-install command was successful
[4] 正常にセットアップが完了すると、レプリカサーバーホスト上でも既存ユーザーの検索やユーザーアカウントの追加等々が実施可能です。
[root@node01 ~]#
kinit admin

Password for admin@IPA.SRV.WORLD:
[root@node01 ~]#
ipa user-find

---------------
5 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@IPA.SRV.WORLD, root@IPA.SRV.WORLD
  UID: 1611800000
  GID: 1611800000
  Account disabled: False

  User login: cent
  First name: CentOS
  Last name: Linux
  Home directory: /home/cent
  Login shell: /bin/sh
  Principal name: cent@IPA.SRV.WORLD
  Principal alias: cent@IPA.SRV.WORLD
  Email address: cent@ipa.srv.world
  UID: 1611800001
  GID: 1611800001
  Account disabled: False
.....
.....
関連コンテンツ