Astra Linux.Справка.ALD резервный сервер

Материал из ТХАБ.РФ
Перейти к: навигация, поиск

Инструкция по настройке резервного сервера ALD для Astra Linux Special Edition версии 1.2[править]

Настройка аутентификации SSH по публичным ключам.[править]

Для настройки резервного контроллера домена ALD при помощи rsync необходимо настроить аутентификацию SSH по публичным ключам. Для этого их надо сгенерировать на основном контроллере домена и поместить на резервный. Синхронизация данных будет производиться от пользователя root, поэтому генерировать ключи также нужно для пользователя root.
На основном контроллере домена выполните команды:

ssh-keygen -t rsa
ssh-ketgen -t dsa

После этого в директории /root/.ssh появятся 4 файла "id_dsa", "id_dsa.pub", "id_rsa", "id_rsa.pub". Файлы с суффиксом ".pub" - публичные ключи. Их надо скопировать на резервный сервер в такую же директорию /root/.ssh. После этого на резервном сервере нужно сформировать файл authorized_keys:

cd /root/.ssh
cat id_dsa.pub >> authorized_keys
cat id_rsa.pub >> authorized_keys
rm id_dsa.pub id rsa.pub
chmod 0600 authorized_keys

Ограничения.[править]

Чтобы после выхода из строя из строя основного контроллера домена возможно было продолжить работу с резервным, сервер DNS в обязательном порядке должен быть развернут на отдельной от контроллера домена машине.

В DNS должны разрешаться имена основного и резервного контроллеров домена.

Во избежание проблем с расхождением времени рекомендуется, чтобы основной и резервный контроллеры домена синхронизировались с сервером NTP, также развернутом на отдельной машине.

Клиенты DNS должны быть настроены так, чтобы они могли разрешать короткие имена хостов. Для этого в файле /etc/resolv.conf должна быть директива search.

Пример:

search example.org

Подготовка основного контроллера домена.[править]

Подготовка основного контроллера домена производится с помощью скрипта main-server-prepare.sh. Скрипт произведет проверку наличия необходимых для работы контроллера домена пакетов. При необходимости отсутствующие пакеты нужно установить и запустить скрипт повторно. Кроме того нужно указать короткое имя резервного сервера и интервал времени в минутах, через который служебные данные будут синхронизироваться с резервным контроллером домена. После этого на основном сервере будет создана cron-задача и скрипт для синхронизации баз данных ldap и kerberos, а также домашние директории пользователей.

Подготовка резервного контроллера домена.[править]

Подготовка резервного контроллера домена производится с помощью скрипта secondary-server-prepare.sh. Скрипт произведет проверку наличия необходимых для работы контроллера домена пакетов. При необходимости отсутствующие пакеты нужно установить и запустить скрипт повторно. Для корректной настройки нужно указать короткое имя основного сервера и интервал времени в минутах, через который будет осуществляться проверка доступности в сети основного контроллера домена. После этого на резервном сервере будет создана cron-задача и скрипт для проверки доступности основного контроллера домена в сети. В случае, когда основной контроллер домена не доступен на резервном сервере будет выполнена подмен ip-адреса и имени, после чего будут запущены сервисы, необходимые для работы контроллера домена ALD.

Инструкция по настройке резервного сервера ALD для Astra Linux Special Edition версии 1.3[править]

1. Особенности.[править]

  • Под резервным сервером ALD подразумевается сервер, который может заменить собой основной контроллер домена в случае необходимости (например, в случае выхода из строя основного контроллера домена) без потери служебной информации: учетные записи пользователей, пароли, политики и т.п.
  • Резервный сервер заменяет именно контроллер домена и не обеспечивает перенос домашних директорий пользователей. Для сохранения домашних директорий рекомендуется использовать выделенный сервер домашних директорий.
  • Механизм резервных серверов ALD не является "горячим резервом". Т.е. замена основного контроллера домена резервным предполагает действия системного администратора.
  • Репликаци баз данных выполняется в определенные промежутки времени. Например, базы Kerberos по умолчанию обновляются раз в 10 минут. (Можно изменить - параметр SERVER_PROPAGATE_PERIOD в /etc/ald/ald.conf).

2. Действия по настройке (выполняются на резервном сервере).[править]

  • На резервный сервер необходимо установить пакет ald-server-common.
apt-get install ald-server-common
  • Для создания баз данных LDAP и Kerberos выполнить команду:
ald-init init
  • Отредактировать файл /etc/ald/ald.conf, указав в качестве сервера текущий контроллер домена, а параметр SERVER_ID установить отличным от основного сервера. Например, если на основно контроллере домена SERVER_ID=1, на резервном - SERVER_ID=2.
  • Ввести машину в домен в качестве клиента, выполнив команду:
ald-client commit-config --update-keytab
  • Инициализировать резервный сервер командой:
ald-client slavesrv-init

3. Действия по замене основного сервера резервным.[править]

  • Чтобы ввести резервный сервер в оперативный режим работы, нужно выполнить команду:
ald-client slavesrv-online
  • На всех клиентских машинах включая сервер домашних директорий (если есть) отредактировать файл /etc/ald/ald.conf, указав в качестве параметра SERVER новый контроллер домена (бывший резервный сервер).
  • После изменения /etc/ald/ald.conf на всех клиентских машинах необходимо выполнить команду:
ald-client commit-config

4. Пример.[править]

В качестве примера рассмотрим следующее:

Имеется рабочий контроллер домена - dcm.example.org
Сервер домашних директорий - fs.example.org
Клиент - ac.example.org

Необходимо настроить резервный сервер на хосте - dcs.example.org
Настройка на dcs.example.org будет выглядеть так:

Установка серверной части ALD:

apt-get install ald-server-common

Создание необходимых баз данных:

ald-init init

Редактируем конфигурационный файл /etc/ald/ald.conf. Устанавливаем параметры:

SERVER=dcm.example.org
SERVER_ID=2 #Предполагая, что на dcm.example.org стоит по умолчанию 1.

Вводим резервный сервер в домен:

ald-client commit-config --update-keytab

Инициализируем резервный сервер:

ald-client slavesrv-init

Заменяем основной сервер dcm.example.org на резервный dcs.example.org:

На dcs.example.org выполнить команду:

ald-client slavesrv-online

На клиентских машинах fs.example.org и ac.example.org:

Отредактировать /etc/ald/ald.conf:

SERVER=dcs.example.org

Выполняем команду:

ald-client commit-config