Резервное копирование и восстановление FreeIPA

Используемые термины: FreeIPA .

В создании резервной копии FreeIPA мало нюансов и сложностей. А вот при восстановлении они есть. Мы рассмотрим простую процедуру создания архива для каталога и его служб, а также процесс восстановления сервиса.

Создание резервной копии

Создание резервной копии выполняется встроенным методом (команда ipa-backup). Рассмотрим пример ее использования.

Лучше всего, выполнять полное архивирование на сервере с CRL generation master. Найти его можно, выполнив команду:

Сервер, на котором запущена данная роль должен вернуть ответ:

* Данный вопрос остается на выборе системного администратора. CRL generation master можно и назначить на любой реплике. А можно делать бэкап на всех репликах FreeIPA.

И так, резервную копию можно создать командой:

* при запуске данной команды без параметров, будет создана полная копия каталога и его настроек. Такая копия может быть использована для восстановления каталога в случае нарушения его работы. Также можно сделать копию данных с помощью опции —data — это удобно для восстановления случайно удаленной информации.
** команда ipa-backup -h покажет нам полный набор возможностей. В нашем примере мы ограничимся созданием полной копии.

Мы должны увидеть вывод команды на подобие этого:

* как видим, наша копия создана в каталоге /var/lib/ipa/backup/ .

Как и говорилось выше, процесс создания резерва, относительно, понятен и прост. Перейдем к процессу восстановления.

Восстановление

Мы рассмотрим процедуру в два этапа на примере полного восстановления службы каталогов. Сначала мы выполним подготовительные действия, после саму команду для восстановления.

Подготовка

Для успешного восстановления службы каталогов необходимо:

• Установить пакет ipa-server (и, при необходимости, ipa-server-dns ).
• Задать то же имя, что и было у сервера, на котором запускалась процедура резервного копирования.

Приступим.

1. Смотрим информацию о резервной копии.

Для этого переходим в каталог с резервной копией. В нем будет файл header — смотрим его содержимое:

Мы должны увидеть что-то на подобие:

После сбора сведений, идем дальше.

2. Установка ipa-server.

Проще всего, установку выполнить из репозитория.

а) для Rocky Linux / CentOS 8:

* первая команда установит модуль DL1 Stream-репозитория. Вторая — сам freeipa.

б) для CentOS 7:

Подробнее процедура описана в инструкции Установка и использование FreeIPA на CentOS .

Но если нужная версия в нем отсутствует, придется собирать пакет из исходников. Список исходников наиболее свежих версий можно найти на официальном сайте, а все возможные версии есть на Github. Смотрим ссылку на нужный нам исходник, скачиваем его:

wget https://releases.pagure.org/freeipa/freeipa-4.9.2.tar.gz

Распаковываем:

tar zxvf freeipa-*.tar.gz

Переходим:

cd freeipa-*/

Конфигурируем, собираем, устанавливаем:

./configure

make

make install

Если на сервере FreeIPA также выполняется роль DNS, нам нужен еще один пакет:

3. Смена имени хоста.

Как говорилось выше, имя нашего хоста должно быть таким же, так и у сервера, на котором создана резервная копия. В нашем примере это ipa.remontka.local — команда будет такой:

Подготовительные работы выполнены.

Выполнение ipa-restore

Нам нужно загрузить каталог с резервной копией на целевой сервер, после помещаем его в каталог /var/lib/ipa/backup . Само копирование может быть выполнено с помощью rsync, scp, WinSCP и так далее.

После переходим в каталог с копией:

Запускаем процесс восстановления:

* где ipa-full-2021-09-27-12-22-42 — название каталога с архивом.

Мы увидим запрос с предупреждением, что все наши данные будут перезаписаны данными из архива. Соглашаемся:

Ждем окончания процесса.

Проверка

После восстановления необходимо убедиться, что наши службы работают корректно. Описание решения некоторых проблем описано ниже .

1. Для начала, смотрим общее состояние служб:

В идеале, мы должны увидеть:

2. После смотрим состояние с помощью healthcheck. Для этого установим утилиту:

Запустим:

Если проблем нет, то мы должны увидеть пустые скобки:

Возможные проблемы

Рассмотрим ошибки, с которыми столкнулся я.

pki-tomcatd Service: STOPPED

Ошибка появляется после восстановления при проверке состояния служб командой ipactl status.

Причина: при восстановлении в файл /etc/hosts прописывается строка для нашего сервера. Но если новый сервер имеет IP-адрес отличный от сервера, на котором выполнялась копия, данная запись будет неправильной.

Решение: в идеале, новый сервер должен быть с таким же адресом, что и был у предшественника. Если это невозможно по каким-либо причинам, то открываем файл hosts:

И задаем правильное значение:

* где 192.168.1.15 — новый адрес сервера; ipa.remontka.local — имя нашего сервера.

Перезапускаем сервис:

Теперь должно все работать.

No such file or directory: ‘/etc/httpd/alias/ipasession.key’

Ошибка появляется при проверке состоянию с помощью healthcheck.

Причина: отсутствует каталог /etc/httpd/alias. Скорее всего, недоработка со стороны разработчиков утилиты restore.

Решение: создаем каталог:

Перезапускаем httpd:

Init: Pass phrase incorrect for key

Ошибка появляется в логе веб-сервера httpd при попытке его запуска.

Причина: нет доступа по сети к каталогу. Причины могут быть разные, нужна диагностика по сети.

В моем случае оказалось, что в файле hosts было несколько записей для моего сервера.

Решение: проверяем работу сети и доступность каталога. Проверяем, что в hosts нет лишних строчек для нашего сервера.

После выполняем: