резервное копирование и восстановление freeipa инфраструктуры
Помните, что кэширование будет значительно влиять на результаты. При запросах серверов имен Google, например, прямо прежде чем реальные зоны пошли живые, это привело бы к "отрицательному ответу" быть кэшируемым Google. Затем, когда это пошло живое, и Вы запросили Google снова, это будет использовать кэшируемый ответ вместо того, чтобы запросить вышестоящий сервер снова.
Вовремя, все спугнет. Но необходимо ожидать до отрицательного тайм-аута кэширования родительской зоны для передачи.
У меня нет подходящего решения для резервного копирования и восстановления сервера FreeIPA на CentOS, есть только обходной путь, позволяющий запустить сервер с той же конфигурацией в кратчайшие сроки. Вы теряете CA, и вам нужно повторно присоединить хосты к серверу .
Именно так я поступил с «аварийным восстановлением» при использовании серии 2.x . Я провел много экспериментов методом проб и ошибок и устал восстанавливать свои настройки с нуля:
- предоставить новый хост с помощью DHCP + PXE + TFTP + Kickstart.
- убедиться, что сценарий кикстарта устанавливает репозиторий
puppetlabsи зарегистрируйтесь вpuppetmaster, для этой цели вautosign.confесть (была) запись. (Репоpuppetlabsне является обязательным, но я использовал синтаксис, отсутствующий в стандартной версииpuppet). - напишите модуль, содержащий ресурс
packageдля установки сервера и его зависимостей, иресурс execдля запуска сценария оболочки (все находится под контролем версий), определяющего всю инфраструктуру, необходимую в домене.
Здесь я дам вам отрывок сценария, чтобы вы поняли общую идею:
#!/usr/bin/env bash
# vim:syn=sh:ts=2:fdm=marker
# IPASERVER BOOTSTRAP {{{
# HOSTGROUPS {{{
# foo {{{
ipa hostgroup-add foo --desc='Foo Bar Baz'
ipa hostgroup-add-member sanfernando --hosts={foo,bar,baz}.domain.com
ipa netgroup-add net_foo --nisdomain=domain.com --desc='Foo Bar Baz'
ipa netgroup-add-member net_foo --hostgroups=sanfernando
# }}}
# }}}
# PWPOLICY {{{
ipa pwpolicy-mod global_policy --history=24
ipa pwpolicy-mod global_policy --lockouttime=1200
ipa pwpolicy-mod --setattr=krbpwdmindiffchars=4
ipa pwpolicy-mod --setattr=krbpwdminlenght=14
ipa pwpolicy-mod --setattr=krbpwdmaxfailure=5
ipa pwpolicy-mod --setattr=krbminpwdlife=168
ipa pwpolicy-mod --setattr=krbpwdfailurecountinterval=1200
# }}}
# USERS/GROUPS/HBAC {{{
# developers {{{
ipa user-add jdoe --first='Jane' --last='Doe' --email='jdoe@domain.com' --gecos='Jane Doe' --shell='/bin/rbash' --sshpubkey='AAA......XXGDGHU='
ipa group-add foo --desc='Foo Staff'
ipa group-add-member foo --users=jdoe
ipa hbacrule-add developers_access --desc='Developers access'
ipa hbacrule-add-host developers_access --hostgroups=development
ipa hbacrule-add-user developers_access --groups=developers
ipa hbacrule-add-service developers_access --hbacsvcs=sshd
ipa hbacrule-add-service developers_access --hbacsvcgroups=Sudo
# }}}
# }}}
# SUDO CMD/RULE/GROUP {{{
# networking {{{
ipa sudocmd-add --desc='administration tool for IPv4 packet filtering and NAT' '/sbin/iptables'
ipa sudocmd-add --desc='view and manipulate media-independent interface status' '/sbin/mii-tool'
ipa sudocmd-add --desc='display or change ethernet card settings' '/sbin/ethtool'
ipa sudocmd-add --desc='show and manipulate routing, devices, policy routing and tunnels' '/sbin/ip'
ipa sudocmd-add --desc='sudoedit configuration file of IPv4 packet filtering and NAT' 'sudoedit /etc/sysconfig/iptables'
ipa sudocmdgroup-add networking --desc='commands for network configuration and troubleshooting'
ipa sudocmdgroup-add-member networking --sudocmds=/sbin/{iptables,mii-tool,ethtool,ip}
ipa sudocmdgroup-add-member networking --sudocmds='sudoedit /etc/sysconfig/iptables'
ipa sudorule-add networking_4_operators_2 --desc='Operator Level 2 access to networking management commands'
ipa sudorule-add-allow-command networking_4_operators_2 --sudocmdgroups='networking'
ipa sudorule-add-user networking_4_operators_2 --groups='operators_2'
ipa sudorule-add-host networking_4_operators_2 --hostgroups=foo-hosts
# }}}
# }}}
# }}}
Нет простого ответа на резервное копирование и восстановление в FreeIPA. Мы говорим о среде репликации с несколькими мастерами, где каждый сервер может иметь разную конфигурацию, разные службы (CA, DNS), которые мы хотим сохранить.
С самого начала проекта общий ответ на резервное копирование и восстановление в FreeIPA был - имел реплики . Имея несколько реплицированных серверов FreeIPA, вы сохраняете избыточность и доступность даже при сбое некоторых серверов. Если у вас есть другие службы, такие как CA или DNS, просто добавьте их на реплики FreeIPA, чтобы вас не застали врасплох. Если вы используете записи DNS SRV для обнаружения сервисов FreeIPA своими клиентами, они даже не заметят, если вы потеряете некоторые из них, им следует просто переключиться на другие доступные FreeIPA.
Также может быть целесообразно делать регулярные снимки состояния ВМ одного сервера резервного копирования FreeIPA, чтобы убедиться, что у вас есть с чего начать на случай, если вся ваша реплицированная среда выйдет из строя. Если вас интересует не структурное резервное копирование, а резервное копирование данных, я бы посоветовал db2ldif как лучший способ резервного копирования данных.
Надеюсь, этот краткий совет поможет, вы можете найти больше ресурсов на сайте FreeIPA.org:
FreeIPA (теперь брендированный как Red Hat Identity Manager на RHEL) начиная с 4.x включает инструменты CLI: ipa-backup (создание зашифрованного GPG дампа резервной копии либо всей информации сервера, либо только данных LDAP) и ipa- restore.
Одно предостережение: после восстановления резервной копии только данных на только что установленном сервере я обнаружил, что она забила учетные данные администратора, и я не смог войти в систему от имени администратора или любого другого пользователя, независимо от того, что я сделал ( сообщение об ошибке "неправильный пароль"). Так что это было довольно бесполезно. Однако, это могло быть причудой в моей установке. Обязательно протестируйте восстановление, прежде чем полагаться на него!