Astra Linux.Справка.ALD резервный сервер
Содержание
Инструкция по настройке резервного сервера ALD для Astra Linux Special Edition версии 1.2
Настройка аутентификации SSH по публичным ключам.
Для настройки резервного контроллера домена ALD при помощи rsync необходимо настроить аутентификацию SSH по публичным ключам. Для этого их надо сгенерировать на основном контроллере домена и поместить на резервный. Синхронизация данных будет производиться от пользователя root, поэтому генерировать ключи также нужно для пользователя root.
На основном контроллере домена выполните команды:
ssh-keygen -t rsa
ssh-ketgen -t dsa
После этого в директории /root/.ssh появятся 4 файла "id_dsa", "id_dsa.pub", "id_rsa", "id_rsa.pub". Файлы с суффиксом ".pub" - публичные ключи. Их надо скопировать на резервный сервер в такую же директорию /root/.ssh. После этого на резервном сервере нужно сформировать файл authorized_keys:
cd /root/.ssh
cat id_dsa.pub >> authorized_keys
cat id_rsa.pub >> authorized_keys
rm id_dsa.pub id rsa.pub
chmod 0600 authorized_keys
Ограничения.
Чтобы после выхода из строя из строя основного контроллера домена возможно было продолжить работу с резервным, сервер DNS в обязательном порядке должен быть развернут на отдельной от контроллера домена машине.
В DNS должны разрешаться имена основного и резервного контроллеров домена.
Во избежание проблем с расхождением времени рекомендуется, чтобы основной и резервный контроллеры домена синхронизировались с сервером NTP, также развернутом на отдельной машине.
Клиенты DNS должны быть настроены так, чтобы они могли разрешать короткие имена хостов. Для этого в файле /etc/resolv.conf должна быть директива search.
Пример:
search example.org
Подготовка основного контроллера домена.
Подготовка основного контроллера домена производится с помощью скрипта main-server-prepare.sh. Скрипт произведет проверку наличия необходимых для работы контроллера домена пакетов. При необходимости отсутствующие пакеты нужно установить и запустить скрипт повторно. Кроме того нужно указать короткое имя резервного сервера и интервал времени в минутах, через который служебные данные будут синхронизироваться с резервным контроллером домена. После этого на основном сервере будет создана cron-задача и скрипт для синхронизации баз данных ldap и kerberos, а также домашние директории пользователей.
Подготовка резервного контроллера домена.
Подготовка резервного контроллера домена производится с помощью скрипта secondary-server-prepare.sh. Скрипт произведет проверку наличия необходимых для работы контроллера домена пакетов. При необходимости отсутствующие пакеты нужно установить и запустить скрипт повторно. Для корректной настройки нужно указать короткое имя основного сервера и интервал времени в минутах, через который будет осуществляться проверка доступности в сети основного контроллера домена. После этого на резервном сервере будет создана cron-задача и скрипт для проверки доступности основного контроллера домена в сети. В случае, когда основной контроллер домена не доступен на резервном сервере будет выполнена подмен ip-адреса и имени, после чего будут запущены сервисы, необходимые для работы контроллера домена ALD.
Инструкция по настройке резервного сервера ALD для Astra Linux Special Edition версии 1.3
1. Особенности.
- Под резервным сервером ALD подразумевается сервер, который может заменить собой основной контроллер домена в случае необходимости (например, в случае выхода из строя основного контроллера домена) без потери служебной информации: учетные записи пользователей, пароли, политики и т.п.
- Резервный сервер заменяет именно контроллер домена и не обеспечивает перенос домашних директорий пользователей. Для сохранения домашних директорий рекомендуется использовать выделенный сервер домашних директорий.
- Механизм резервных серверов ALD не является "горячим резервом". Т.е. замена основного контроллера домена резервным предполагает действия системного администратора.
- Репликаци баз данных выполняется в определенные промежутки времени. Например, базы Kerberos по умолчанию обновляются раз в 10 минут. (Можно изменить - параметр SERVER_PROPAGATE_PERIOD в /etc/ald/ald.conf).
2. Действия по настройке (выполняются на резервном сервере).
- На резервный сервер необходимо установить пакет ald-server-common.
apt-get install ald-server-common
- Для создания баз данных LDAP и Kerberos выполнить команду:
ald-init init
- Отредактировать файл /etc/ald/ald.conf, указав в качестве сервера текущий контроллер домена, а параметр SERVER_ID установить отличным от основного сервера. Например, если на основно контроллере домена SERVER_ID=1, на резервном - SERVER_ID=2.
- Ввести машину в домен в качестве клиента, выполнив команду:
ald-client commit-config --update-keytab
- Инициализировать резервный сервер командой:
ald-client slavesrv-init
3. Действия по замене основного сервера резервным.
- Чтобы ввести резервный сервер в оперативный режим работы, нужно выполнить команду:
ald-client slavesrv-online
- На всех клиентских машинах включая сервер домашних директорий (если есть) отредактировать файл /etc/ald/ald.conf, указав в качестве параметра SERVER новый контроллер домена (бывший резервный сервер).
- После изменения /etc/ald/ald.conf на всех клиентских машинах необходимо выполнить команду:
ald-client commit-config
4. Пример.
В качестве примера рассмотрим следующее:
Имеется рабочий контроллер домена - dcm.example.org
Сервер домашних директорий - fs.example.org
Клиент - ac.example.org
Необходимо настроить резервный сервер на хосте - dcs.example.org
Настройка на dcs.example.org будет выглядеть так:
Установка серверной части ALD:
apt-get install ald-server-common
Создание необходимых баз данных:
ald-init init
Редактируем конфигурационный файл /etc/ald/ald.conf. Устанавливаем параметры:
SERVER=dcm.example.org
SERVER_ID=2 #Предполагая, что на dcm.example.org стоит по умолчанию 1.
Вводим резервный сервер в домен:
ald-client commit-config --update-keytab
Инициализируем резервный сервер:
ald-client slavesrv-init
Заменяем основной сервер dcm.example.org на резервный dcs.example.org:
На dcs.example.org выполнить команду:
ald-client slavesrv-online
На клиентских машинах fs.example.org и ac.example.org:
Отредактировать /etc/ald/ald.conf:
SERVER=dcs.example.org
Выполняем команду:
ald-client commit-config