安装高可用free IPA+CDH6.3.2结合+日常操作

主机名之类的应该在cdh安装的时候就配好了 不再赘述

ipa的一些日常命令

FreeIPA常用命令

启动、停止、检查IPA服务

ipactl [-f] start/stop/status 

注：-f表示强制执行，可忽略由于某一服务启动失败导致整体启动失败的问题

 显示replica列表

ipa-replica-manage list 

注：完整的命令为ipa-replica-manage [OPTION]… [connect|disconnect|del|list|re-initialize|force-sync]

备份数据

ipa-backup –data –online

默认备份位置为/var/lib/ipa/backup/ 

恢复数据

ipa-restore –online /var/lib/ipa/backup/ipa-data-/

 刚开始安装的时候可能会安装出问题 

ipa-server-install --uninstall  服务端的卸载密码 
ipa-client-install --uninstall 客户端的卸载密码 ，记住卸载客户端会自动重启服务器

安装freeipa

yum -y install nscd

 修改/etc/nscd.conf

enable-cache            netgroup        no
enable-cache            group           no
enable-cache            passwd          no

 云主机默认不开启IPv6，根据提示，需要在 lo 接口启用IPv6，编辑/etc/sysctl.conf文件，调整或增加： 不然会报下面的错误

net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0

sysctl -p 刷新一下

ipapython.admintool: ERROR    IPv6 stack is enabled in the kernel but there is no interface that has ::1 address assigned. Add ::1 address resolution to 'lo' interface. You might need to enable IPv6 on the interface 'lo' in sysctl.conf.
ipapython.admintool: ERROR    The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information

分发到所有节点 

安装freeipa

yum install -y ipa-server bind bind-dyndb-ldap ipa-server-dns

ipa-server-install --setup-dns

Server host name [cdh01.cdh-dr.test.com]:  回车

Please confirm the domain name [cdh-dr.test.com]: 回车

Please provide a realm name [CDH-DR.TEST.COM]: 回车

Directory Manager password: #输入web的密码
Password (confirm): 

IPA admin password: #输入kerberos的密码
Password (confirm): 

Do you want to configure DNS forwarders? [yes]: no  #你想配置dns为转发器吗？ no即可，选yes会让你配置具体做哪个dns的转发
No DNS forwarders configured
Do you want to search for missing reverse zones? [yes]: yes #你想配置dns的反向域吗？ 选yes
Do you want to create reverse zone for IP 10.1.1.1 [yes]: yes #是否创建反向域名解析  选yes
Please specify the reverse zone name [1.1.1.in-addr.arpa.]: 回车 #反向解析域 回车即可
Using reverse zone(s) 1.1.1.in-addr.arpa.

The IPA Master Server will be configured with:
Hostname:       cdh01.cdh-dr.test.com
IP address(es): 10.1.1.1
Domain name:    cdh-dr.test.com
Realm name:     CDH-DR.TEST.COM

BIND DNS server will be configured to serve IPA domain with:
Forwarders:       No forwarders
Forward policy:   only
Reverse zone(s):  1.1.1.in-addr.arpa.

Continue to configure the system with these values? [no]: yes #继续配置系统其他的值？选yes

可以用kinit admin 简单测试一下

访问web之前记得在访问机上面的hosts配一下解析  然后用你的server主机名进行访问

可能会弹好几次输入账号密码，不知道是什么东西 多点击几次取消即可 ，没用的选择

在这里输入你配置的账密 

 在网卡配置文件里添加一下freeipa的地址

打开 /etc/sysconfig/network-scripts/ifcfg-eth0
给所有的节点添加
DNS1=10.1.1.1 #你的ipa server地址
打开/etc/resolv.conf
给所有的节点添加
nameserver 10.1.1.1
一定要放在第一个，一定要放在第一个，一定要放在第一个

不然就会解析不到主机名 报错

nslookup cdh01.cdh-dr.test.com
Server:         10.170.15.100
Address:        10.170.15.100#53

** server can't find cdh01.cdh-dr.test.com: NXDOMAIN


或者你没发现 在你cdh配置kerberos的时候
: ERROR: Host does not have corresponding DNS A/AAAA record
都只是因为没有把ipa server 放在第一个

如果配的没问题但是还是不通 可能是傻网管关了UDP 

安装客户端

yum -y install ipa-client  openldap-clients 

在所有客户端服务上运行

ipa-client-install  --domain=cdh-dr.test.com --server=cdh01.cdh-dr.test.com  --mkhomedir --enable-dns-updates --no-ntp -p [email protected] -W 

根据你自己的情况写上对应的参数
然后根据提示输入对应设置

Proceed with fixed values and no DNS discovery?  yes
Continue to configure the system with these values? [no]: yes ---继续配置系统其他的值？ 选择yes
User authorized to enroll computers: admin ---域管理员
Password for [email protected]: ---密码

如果出现了Hostname (cdh-dr.test.com) does not have A/AAAA record.
说明没配好dns,有时候发现不知道啥原因就是配不上反向解析。那就去web上手动添加一下 （确保你的正向解析肯定是好的，就是nslookup cdh-dr.test.com 是可以的  nslookup 10.1.1.1 这样就不行 ） 网络服务--DNS--反向域（就是in-addr.arpa） 仿照上面的手动添加一下 @只需要一个不用二次添加

在web ui上可以看到客户端已经加进来了

然后部署高可用 

首先确保备机已经安装好了client 

ipa-replica-install
Password for [email protected]:  # 输入admin密码
Run connection check to master
Connection check OK
Configuring NTP daemon (ntpd)。。。
。。。。。。

如果报错（Clients may not function properly. Please check your DNS setup. (Note that this check queries IPA DNS directly and ignores /etc/hosts.) 那就是你的dns没配好 按上面的检查你的dns配置

WARNING: The CA service is only installed on one server (ipa1.dc.losinx.com).
It is strongly recommended to install it on another server.
Run ipa-ca-install(1) on another master to accomplish this.

"""
这里复制服务已经安装完成，可以看到最后显示ca服务器只在ipa1服务器安装，所以我们需要按照提示进行
ipa-ca-install 进行ca复制

安装CA复制

ipa-ca-install
Directory Manager (existing master) password:  # 输入前面的密码

 FreeIPA 的复制属于主主复制，即两个服务器都是主节点，会将更改相互发送给其他节点。

最后和cdh进行结合

首先修改一下kerberos的配置文件

修改krb5.conf

 renew_lifetime = 7d
 kdc_timeout = 3000
 renewable = true
 #default_ccache_name = KEYRING:persistent:%{uid}
重启一下ipa
ipactl restart

添加

/etc/profile
unset KRB5CCNAME

 分发到所有节点

在cdh上添加kerberos

 

 

当时的截图找不到了 。加密方式那里写rc4-hmac即可，别的按图所示 

付费版会有一些windowsAD域的配置 ，没有的话就不用管 

不要使用Cloudera Manager管理krb5.conf，最好手动管理，更容易维护。

这里直接使用FreeIPA的管理员凭据即可。

确保集群节点都已经被FreeIPA管理。FreeIPA客户端使用ipa-client。

完成和cdh的结合 

接下来是freeipa的一些基本操作

添加一个用户

 没什么要填的。 登录名和密码填下就行了

在在任意一台主机上使用heboan账号远程 client01.bigdata-heboan.com