注:參考了http://my.oschina.net/u/142602/blog/186481
先在原ipaserver上執行如下指令
kinit admin
ipa-replica-prepare ipa2.xxx.com
scp /var/lib/ipa/replica-info-ipa2.xxx.com.gpg [email protected]:/root
在熱備主機上(這裡為ipa2)執行
yum install ipa-server bind-dyndb-ldap -y
ipa-replica-install replica-info-ipa2.xxx.com.gpg --skip-conncheck
原文提到關閉防火牆,這裡不建議這麼做,完全開放端口很不安全,為了避免端口不通帶來不必要的問題,可以在内網無限制,對外無需開放任何端口
執行
ipa-replica-manage list
發現有兩台master了,到這裡熱備伺服器的配置其實就完成了
接下來還需要更改用戶端的配置,編輯/etc/krb5.conf檔案,找到如下位置
[realms]
xxx.com = {
kdc = ipa.xxx.com:88
master_kdc = ipa.xxx.com:88
admin_server = ipa.xxx.com:749
default_domain = xxx.com
pkinit_anchors = FILE:/etc/ipa/ca.crt
}
改為
[realms]
YMT.IO = {
kdc = ipa.xxx.com:88
kdc = ipa2.xxx.com:88
master_kdc = ipa.xxx.com:88
master_kdc = ipa2.xxx.com:88
admin_server = ipa.xxx.com:749
admin_server = ipa2.xxx.com:749
default_domain = xxx.com
pkinit_anchors = FILE:/etc/ipa/ca.crt
}
更改後我們測試一下,原文說down掉原ipaserver試下,其實不需要這樣,因為用戶端都是以域名通信的,更改下/etc/hosts,将ipa.xxx.com指向一個不存在的ip就可以模拟挂掉的情況了
這裡我測試正常,done
--------------------------------------20170417更新------------------------------------
今天測試發現4.4.0版本的freeipa熱備方法有些差別,記錄一下,先在熱備機器上安裝freeipa用戶端(系統為centos),然後執行
yum install ipa-server -y
安裝後在熱備主機上執行ipa-replica-install --setup-ca指令即可(執行前service dbus status看下dbus服務的狀态,如果狀态異常會安裝失敗)
![confluence wiki 接入 LDAP FreeIPA[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)