FreeIPA : Multi-master replication

Neste post será apresentado como configurar a replicação entre outros servidores IPA’s .

ipa-replica

1) Ambiente :

Domínio LX.EXAMPLE.COM

Master
ipa-01 – 10.0.10.5

Replica
ipa-02 – 10.0.10.7

servidor client – client-01.lx.example.com

Neste post será apresentado como configurar um novo servidor no domínio , as configurações do servidor Master foram baseadas na configuração abaixo :

http://fajlinux.com.br/linux/freeipa-configuracao-do-servidor/

Portas abertas no Firewall :

TCP : 739, 80, 443, 389, 636, 88, 464, 53
UDP: 88, 464, 53, 123

 

 

2) Instalando o freeIPA no servidor de replica :

yum install -y ipa-server bind bind-utils bind-dyndb-ldap ipa-server-dns

 

3) Preparando o IPA-01 para a replica :

Logue como Admin no Kerberos no IPA-01

kinit admin

Crie o registro tipo A

ipa dnsrecord-add lx.example.com ipa-02 --a-rec 10.0.10.7

Crie a zona reversa

ipa dnsrecord-add 10.0.10.in-addr.arpa. 7 --ptr-rec ipa-02.lx.example.com.

Rode o comando abaixo para configurar a replica à partir do IPA-01

ipa-replica-prepare ipa-02.lx.example.com

Captura de Tela 2016-06-26 às 17.27.45

Copie a chave gerada do IPA-01 para o IPA-02

scp /var/lib/ipa/replica-info-ipa-02.lx.example.com.gpg root@ipa-02.lx.example.com:/var/lib/ipa

 

4) Configurando o IPA-02 para ser a replica :

Instalando a replica do IPA

ipa-replica-install --setup-dns --setup-ca --no-forwarders /var/lib/ipa/replica-info-ipa-02.lx.example.com.gpg

Captura de Tela 2016-06-26 às 18.06.40

Valide a instalação rodando o comando ipa-replica-manage

ipa-replica-manage list

Captura de Tela 2016-06-26 às 18.13.00

ipa-replica-manage list ipa-01.lx.example.com

Captura de Tela 2016-06-26 às 18.15.46

 

5) Testes Finais

No console eu acessei Policy > Host Based Access Control e criei a regra para os usuários user01 e user02 possam utilizar qualquer serviço na máquina client-01.

Captura de Tela 2016-06-26 às 18.43.01

 

O IPA-01 foi desligado

Captura de Tela 2016-06-26 às 18.51.08

Ao tentar acessar o servidor client-01.lx.example.com , conseguimos ver a autenticação no servidor IPA-02.

 

Acesso SSH ao client-01.lx.example.com

Captura de Tela 2016-06-26 às 18.54.56

Autenticação no IPA-02

Jun 26 18:54:51 ipa-02.lx.example.com krb5kdc[41963](info): TGS_REQ (6 etypes {18 17 16 23 25 26}) 10.0.10.20: ISSUE: authtime 1466978091, etypes {rep=18 tkt=18 ses=18}, user02@LX.EXAMPLE.COM for host/client-01.lx.example.com@LX.EXAMPLE.COM

Captura de Tela 2016-06-26 às 18.58.02

 

Referência

https://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/ipa-replica-manage.html