Centralna autentykacja przy użyciu Identity Management (IdM) - klaster HA - tworzenie repliki serwera IPA

RedHat 6.x / CentOS 6.x

Dla zapewnienia wysokiej dostępności usługi autentykacyjnej, IPA oferuje mechanizm replikacji serwera centralnego. Operacja polega na utworzeniu repliki pierwszego serwera, i utworzenia na jego podstawie kopii, która będzie pracowała z nim w klastrze.

Operację rozpoczynamy od przygotowania zrzutu konfiguracji głównego serwera, czyli wspomnianej wcześniej repliki:

[root@server ~]# ipa-replica-prepare server2.ipa.local
Directory Manager (existing master) password:[haslo]

Preparing replica for server2.ipa.local from server.ipa.local
Creating SSL certificate for the Directory Server
Creating SSL certificate for the dogtag Directory Server
Creating SSL certificate for the Web Server
Exporting RA certificate
Copying additional files
Finalizing configuration
Packaging replica information into /var/lib/ipa/replica-info-server2.ipa.local.gpg

Po utworzeniu repliki jesteśmy informowani, że konfiguracja została zapisana w pliku /var/lib/ipa/replica-info-server2.ipa.local.gpg. Plik ten kopiujemy na serwer, na którym mamy uruchomić drugą instancję, w naszym wypadku na server2.ipa.local.

[root@server ~]# scp /var/lib/ipa/replica-info-server2.ipa.local.gpg root@server2.ipa.local:/tmp/
root@server2.ipa.local's password:
replica-info-server2.ipa.local.gpg                                             100%   35KB  35.1KB/s   00:00

Po zalogowaniu się na serwer server2.ipa.local należy dokonać instalacji serwera IPA z wykorzystaniem przygotowanego wcześniej pliku konfiguracji. W pierwszej kolejności należy doinstalować niezbędne pakiety ipa-server:

[root@server2 ~]# yum -y install ipa-server

Konieczne rónież będzie otwarcie portów na lokalnym FW, tak jak w przypadku instalacji pierwszego serwera.

[root@server2 ~]# iptables -I INPUT 5 -p tcp -m multiport --dports=80,443,389,636,88,464 -j ACCEPT
[root@server2 ~]# iptables -I INPUT 5 -p udp -m multiport --dports=88,464,123 -j ACCEPT
[root@server2 ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

Teraz możemy przejść do właściwej instalacji repliki:

[root@server2 ~]# cd /tmp/
[root@server2 tmp]# ipa-replica-install replica-info-server2.ipa.local.gpg
Directory Manager (existing master) password: [haslo]

Run connection check to master
Check connection from replica to remote master 'server.ipa.local':
   Directory Service: Unsecure port (389): OK
   Directory Service: Secure port (636): OK
   Kerberos KDC: TCP (88): OK
   Kerberos Kpasswd: TCP (464): OK
   HTTP Server: Unsecure port (80): OK
   HTTP Server: Secure port (443): OK

The following list of ports use UDP protocol and would need to be
checked manually:
   Kerberos KDC: UDP (88): SKIPPED
   Kerberos Kpasswd: UDP (464): SKIPPED

Connection from replica to master is OK.
Start listening on required ports for remote master check
Get credentials to log in to remote master
admin@IPA.LOCAL password: [haslo]

Execute check on remote master
Check connection from master to remote replica 'server2.ipa.local':
   Directory Service: Unsecure port (389): OK
   Directory Service: Secure port (636): OK
   Kerberos KDC: TCP (88): OK
   Kerberos KDC: UDP (88): OK
   Kerberos Kpasswd: TCP (464): OK
   Kerberos Kpasswd: UDP (464): OK
   HTTP Server: Unsecure port (80): OK
   HTTP Server: Secure port (443): OK

Connection from master to replica is OK.

Connection check OK
...
[Truncated output]
...

Po instalacji możemy w prosty sposób zweryfikować, czy nasza replika podłączyła się z serwerem centralnym, pobierając ticket kerberosa dla usera admin

[root@server2 tmp]# kinit admin
Password for admin@IPA.LOCAL:[haslo]
[root@server2 tmp]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@IPA.LOCAL

Valid starting     Expires            Service principal
08/30/15 17:51:10  08/31/15 17:51:07  krbtgt/IPA.LOCAL@IPA.LOCAL

Od tej chwili mamy również dostępną drugą konsolę webową Identity Management, pod adresem naszej repliki. Możemy z niej zweryfikować poprawność połączniea klastra, poprzez np. dodanie nowego użytkownika. Dodanie w jednej konsoli spowoduje propagację wartości na drugi serwer (i oczywiście pozostałe, jeśli replik jest więcej)