13.1. Установка реплики на существующем клиенте FreeIPA, с использованием Host Keytab
В данной процедуре клиент FreeIPA повышается до реплики с использованием собственной таблицы ключей хоста. Данная процедура не требует предоставления учетных данных администратора или диспетчера каталогов (DM), поэтому она более безопасна (т.к. в командной строке не отображается конфиденциальная информация).
Создать обратный адрес для реплики на DNS-сервере основного сервера. Для этого в веб-интерфейсе FreeIPA необходимо перейти в → → , выбрать в таблице запись домена (например, example.test.), в открывшемся списке открыть запись реплики (например, ipabackup), нажать на IP-адрес в поле A записи и в открывшемся окне на ссылку Создать запись DNS:
Процедура установка реплики:
На любом узле FreeIPA получить билет Kerberos:
$ kinit admin
Добавить клиентскую машину в группу узлов ipaservers:
$ ipa hostgroup-add-member ipaservers --hosts ipabackup.example.test
Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.example.test, ipabackup.example.test
-----------------------------------
Количество добавленных участников 1
-----------------------------------
На клиенте запустить утилиту
ipa-replica-install:
# ipa-replica-install
dbus может мешать проверке соединений при установке реплики, при появлении ошибок может помочь перезапуск сервиса:
# systemctl reload dbus
