在Ubuntu/CentOS上配置FreeIPA replication的方法

本文介绍在Ubuntu/CentOS操作系统上配置FreeIPA replication的方法，只要配置了FreeIPA就可以启动FreeIPA Replication了。我的两台服务器IP地址如下图所示：

1、配置DNS本地主机文件

在两台服务器上，确保为每台配置的服务器配置主机名：

sudo vim /etc/hosts

确保你有如下所示的行，用你的匹配替换主机名：

192.168.10.10 ipa.computingforgeeks.com ipa

192.168.10.11 ipa-replica.computingforgeeks.com ipa-replica

确保正确配置主机名：

sudo hostnamectl set-hostname ipa-replica.computingforgeeks.com

2、在副本服务器上安装FreeIPA客户端

要在CentOS 7和Ubuntu服务器上安装FreeIPA Client，请参考：

在CentOS 7服务器上安装FreeIPA的步骤

在Ubuntu 18.04/Ubuntu 16.04上安装和配置FreeIPA服务器

对于CentOS 7：

$ sudo yum install ipa-client

$ sudo ipa-client-install --hostname=`hostname -f` \

--mkhomedir \

--server=ipa.computingforgeeks.com \

--domain computingforgeeks.com \

--realm COMPUTINGFORGEEKS.COM

对于Ubuntu 18.04/Ubuntu 16.04：

$ sudo  apt-get install freeipa-client

$ sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF

Name: activate mkhomedir

Default: yes

Priority: 900

Session-Type: Additional

Session:

required pam_mkhomedir.so umask=0022 skel=/etc/skel

EOF

$ sudo pam-auth-update

3、在副本服务器上安装FreeIPA

一旦安装并配置了FreeIPA服务器，下一步就是在副本上安装FreeIPA Server。

对于Ubuntu 18.04/Ubuntu 16.04，使用：

sudo apt-get install freeipa-server

对于CentOS 7.运行：

sudo yum -y install ipa-server

通过在副本上请求Kerberos进行测试：

[root@ipa-replica ~]# kinit admin

Password for admin@COMPUTINGFORGEEKS.COM: 

[root@ipa-replica ~]# klist 

Ticket cache: KEYRING:persistent:0:0

Default principal: admin@COMPUTINGFORGEEKS.COM

Valid starting Expires Service principal

01/31/2019 11:58:58 01/02/2019 11:58:56 krbtgt/COMPUTINGFORGEEKS.COM@COMPUTINGFORGEEKS.COM

4、将副本服务器添加到FreeIPA上的ipaservers组

登录FreeIPA Server并将副本服务器添加到ipaservers组：

[root@ipa ~]# kinit admin

Password for admin@COMPUTINGFORGEEKS.COM:

[root@ipa ~]# ipa hostgroup-add-member ipaservers --hosts ipa-replica.computingforgeeks.com

Host-group: ipaservers

Description: IPA server hosts

Member hosts: ipa.computingforgeeks.com, ipa-replica.computingforgeeks.com

-------------------------

Number of members added 1

-------------------------

你可以看到我们现在有两个成员主机，ipa和ipa-replica：

对于CentOS 7 FreeIPA服务器，如果有活动的firewalld服务，请在Firewalld上打开freeipa-replication。

在IPA服务器上：

sudo firewall-cmd --add-service=freeipa-replication --permanent

sudo firewall-cmd --reload

5、在副本服务器上运行ipa-replica-install

到目前为止，你只需在副本服务器上运行ipa-replica-install命令即可同步FreeIPA Server配置并使服务器为客户端连接做好准备：

[root@ipa-replica ~]# ipa-replica-install 

如果设置成功，则不应遇到任何错误。

附：在副本服务器（CentOS 7）上配置Firewalld

通过运行以下命令在副本服务器上打开IPA服务器端口：

sudo firewall-cmd --add-service={ssh,dns,freeipa-ldap,freeipa-ldaps,freeipa-replication} --permanent

sudo firewall-cmd --reload

6、测试（在FreeIPA副本上注册客户端）

让我们通过配置客户端来配置使用FreeIPA副本进行测试：

$ sudo yum install ipa-client     --> CentOS

$ sudo apt-get install freeipa-client --> Ubuntu

配置freeipa客户端：

echo "192.168.10.10 ipa.computingforgeeks.com ipa" >> /etc/hosts

echo "192.168.10.11 ipa-replica.computingforgeeks.com ipa-replica" >> /etc/hosts

然后runipa-client-install命令：

# ipa-client-install --hostname=`hostname -f` \

--mkhomedir --server=ipa-replica.computingforgeeks.com \

--domain computingforgeeks.com --realm COMPUTINGFORGEEKS.COM

附：删除FreeIPA副本

要删除FreeIPA，首先，使用以下命令在服务器上卸载它：

[root@ipa-replica ~]# ipa-server-install --uninstall

然后从ipaservers组中删除服务器：

# ipa-replica-manage del ipa-replica.computingforgeeks.com --force

# ipa hostgroup-remove-member ipaservers --hosts ipa-replica.computingforgeeks.com

相关主题

配置GitLab FreeIPA身份验证的方法