Um mehr Ausfallsicherheit zu gewinnen, kann man zusätzliche FreeIPA-Domain-Controller aufsetzen. Dazu installiert man einen zweiten FreeIPA-Server und geht dabei mit wenigen Ausnahmen wie beim ersten Server vor.
Diese Anleitung kann für sich genommen hilfreich sein, baut aber auf folgendem Beitrag auf:
Der zweite Server trägt natürlich einen anderen Hostname und hat eine andere statische IP-Adresse (192.168.111.11). Außerdem trage ich während der Netzwerkkonfiguration als DNS-Server meinen ersten FreeIPA-Server (192.168.111.10) ein, der als DNS-Forwarder zu den Google-DNS-Servern (8.8.8.8) eingerichtet wurde. Auf diese Weise leistet der erste Server die Auflösung von Namen innerhalb meiner FreeIPA-Domäne und von Namen im Internet.
Die Angabe meines ersten Servers als DNS-Server ist wichtig, weil sonst während der folgenden FreeIPA-Client-Installation auf dem zweiten Server die automatische Erkennung der FreeIPA-Domäne und die Einrichtung des Clients für Failover nicht funktioniert.
Auf dem zweiten Server werden wie auf dem ersten Server die FreeIPA-Pakete installiert und die Firewall-Regeln angepasst:
sudo yum install ipa-server ipa-server-dns
sudo firewall-cmd --add-service freeipa-ldap --permanent
sudo firewall-cmd --add-service freeipa-ldaps --permanent
sudo firewall-cmd --add-service dns --permanent
sudo firewall-cmd --reloadEs folgt die Installation des FreeIPA-Clients, um den Server als neuen Host in die Domäne aufzunehmen:
sudo ipa-client-install --mkhomedirDanach füge ich den zweiten Server zur Host-Gruppe ipaservers hinzu:
kinit admin
ipa hostgroup-add-member ipaservers --hosts cgn-ipa02.ipa.animentor.deNun erfolgt die eigentliche Beförderung zum Replica-Server. Es ist kein Domänenadministrator-Passwort mehr erforderlich, weil der Server bereits Mitglied der Host-Gruppe ipaservers ist:
sudo ipa-replica-installDie Installation wird auf Nachfrage mit yes fortgesetzt, obwohl der reverse lookup der IP-Adresse unter Missachtung der /etc/hosts fehlschlug. In den nächsten Minuten werden alle Server-Komponenten eingerichtet.
Damit auch DNS-Server und Zertifizierungsstelle redundant verfübar sind, werden diese beiden optionalen Komponenten nachinstalliert. Beim DNS-Server ist zu beachten, dass genau wie auf dem ersten DNS-Server ein Forwarder auf einen externen DNS-Server, in meinem Fall 8.8.8.8, gesetzt werden sollte:
sudo ipa-dns-installDie Installation der Zertifierungsstelle geschieht mit dem folgenden Befehl:
sudo ipa-ca-installVom Status der Komponenten des FreeIPA-Replica-Servers können wir uns schließlich mit folgendem Befehl überzeugen:
sudo ipactl statusWie auch beim ersten FreeIPA-Server können wir nun die IP-Adresse 127.0.0.1 (localhost) als DNS-Server in den Netzwerkeinstellungen des FreeIPA-Servers hinterlegen: Da er selber auch DNS-Server mit einem Fowarder zur Außenwelt ist, kann er sich jegliche DNS-Abfragen selber beantworten. Eine Möglichkeit auf Linux-Systemen mit NetworkManager, die Netzwerkeinstellungen komfortabel auf der Kommandozeile zu ändern, ist nmtui.
Auf die gleiche Weise können weitere Replica-Server aufgesetzt werden, die (bei richtiger Client-Konfiguration auf den anderen Rechnern in der Domäne) die Erreichbarkeit der Domänendienste sicherstellen.
Details wie die optionale Einrichtung des SSH-Zugangs können der Anleitung zur Installation des ersten FreeIPA-Servers entnommen werden.
