Replikering

For å sørge for at tjenester fortsetter å fungere selv om en FreeIPA tjener går ned, har vi flere tjenere som replikerer data seg i mellom.

Denne guiden forutsetter at man har gjort klar en passende tjener for å installere FreeIPA på. TIHLDE benytter seg av CentOS, men Fedora Server er også et alternativ om man liker å leve farlig.

Tjeneren må ha korrekt hostnavn satt, og denne må være korrekt lagt inn i DNS.

Brannmur må være klargjort for å slippe igjennom porter FreeIPA trenger.

Installerer FreeIPA på den nye master tjeneren som vi skal replikere til

[root@ipa2 ~]# yum install ipa-server

Deretter forbereder vi replikeringsdata fra en av de eksisterende FreeIPA tjenerne

[root@ipa1 ~]# ipa-replica-prepare --dirsrv-cert-file=TIHLDE-IPA.pfx --http-cert-file=TIHLDE-IPA.pfx --dirsrv-pin='' --http-pin='' --dirsrv-cert-name='TIHLDE WILDCARD' --http-cert-name='TIHLDE WILDCARD' ipa2.tihlde.org
Directory Manager (existing master) password: 

Preparing replica for ipa2.tihlde.org from ipa1.tihlde.org
Copying SSL certificate for the Directory Server
Copying SSL certificate for the Web Server
Copying additional files
Finalizing configuration
Packaging replica information into /var/lib/ipa/replica-info-ipa2.tihlde.org.gpg
The ipa-replica-prepare command was successful

Overfører deretter filen som ble generert til den nye tjeneren:

[root@ipa1 ~]# sftp root@ipa2.tihlde.org
The authenticity of host 'ipa2.tihlde.org (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is 15:31:0e:05:f5:3f:15:05:b8:01:0c:c6:20:6c:d5:af.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'ipa2.tihlde.org' (ECDSA) to the list of known hosts.
root@ipa2.tihlde.org's password: 
Connected to ipa2.tihlde.org.
sftp> put /var/lib/ipa/replica-info-ipa2.tihlde.org.gpg
Uploading /var/lib/ipa/replica-info-ipa2.tihlde.org.gpg to /root/replica-info-ipa2.tihlde.org.gpg
/var/lib/ipa/replica-info-ipa2.tihlde.org.gpg                                  100%   18KB  17.7KB/s   00:00 

Installerer deretter replika:

[root@ipa2 ~]# ipa-replica-install --mkhomedir replica-info-ipa2.tihlde.org.gpg
WARNING: conflicting time&date synchronization service 'chronyd' will
be disabled in favor of ntpd

Directory Manager (existing master) password: 

Run connection check to master
admin@TIHLDE.ORG password: 
Connection check OK
[---SNIP---]
Client configuration complete.

Replika er nå satt opp og man kan sjekke at replikering fungerer som forventet med ipa-replica-manage:

[root@ipa2 ~]# ipa-replica-manage -v list ipa2.tihlde.org
Directory Manager password: 

ipa1.tihlde.org: replica
  last init status: None
  last init ended: 1970-01-01 00:00:00+00:00
  last update status: Error (0) Replica acquired successfully: Incremental update succeeded
  last update ended: 2017-02-25 00:36:37+00:00
  • howto/freeipa/replikering.txt
  • Last modified: 25/02/2017 01:40
  • by Thomas Juberg