FreeIPAサーバーのdna範囲を再セットする

前提条件

FreeIPAのバージョンは4.6.8、一時的に普通のPCでipa98/ipa99というFreeIPAサーバーを立てて、移行作業後に本番で使うサーバー機でipa01/ipa02をレプリカにして、何も考えずにマルチマスターだからと思って、最初に作ったipa98/ipa99をIdMで削除して、しばらく認証されてるから良いと思ってたら新しいユーザー追加できなかった際の対応内容です。下記のエラーが発生しました。
Allocation of a new value for range cn=posix ids,cn=distributed numeric assignment plugin,cn=plugins,cn=config failed! Unable to proceed.

対応内容

現在のipa01とipa02のdna範囲を確認する。

# kinit admin
# ipa-replica-manage dnarange-show

dna範囲が設定されていなかった。

ipa01.local.example.com: No range set
ipa02.local.example.com: No range set

dnarange-setで設定できそうだけど、設定する範囲を知りたいので、消してしまったサーバーの残っていた設定ファイルをfindとgrepで探索してたら、それっぽいファイルを発見した。IdMと見比べても矛盾していなさそう。

…
dnaMaxValue: 1304599999
dnaNextValue: 1304400063
…

下記のコマンドでdnaを範囲を設定したら無事にユーザーを追加できた。

# ipa-replica-manage dnarange-set ipa01.local.example.com 1304400063-1304599999

PostgreSQL10ストリーミングレプリケーション設定(CentOS7)

CentOS7.9を使用。

2台構成

host:sv1 ip:192.168.0.100 略称:プライマリ
host:sv2 ip:192.168.0.101 略称:セカンダリ

プライマリとセカンダリの共通設定

インストールする。

# yum install https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm
# yum install postgresql10-server postgresql10-devel postgresql10-contrib

ファイアウォールに例外を追加する。

# firewall-cmd --add-service=postgresql --permanent
# firewall-cmd --reload

データベースを初期化してデータベースクラスタを作成する。

# postgresql-10-setup initdb

サービスを有効化する。

# systemctl enable postgresql-10

プライマリの設定

サービスを起動する。

# systemctl start postgresql-10

レプリケーション用ユーザーを作成する。

# su postgres
$ psql
=# CREATE USER replication_user REPLICATION PASSWORD 'password';
=# \q

外部からの通信を許可。最下部に下記を追記する。

host    replication    replication_user    192.168.0.0/24    md5

postgresql.confを編集して下記8行を変更する。
※synchronous_commitはシステム要件によって変更した方が良い

listen_addresses = '*'
wal_level = hot_standby
fsync = on
synchronous_commit = off
wal_sync_method = fsync
max_wal_senders = 2  ※プライマリを含んだレプリケーションサーバーの数を入れる
wal_keep_segments = 32  ※8~32が目安らしい
synchronous_standby_names = '*'

ついでに下記設定値がシステム要件に合っているか確認する。

max_connections = 300  ※同時接続数
shared_buffers = 1024MB  ※物理メモリの1/4程度
work_mem = 8MB  ※物理メモリの1/500程度だが最大8MB
effective_cache_size = 2048MB  ※物理メモリの1/2程度

サービスを再起動する。

# systemctl restart postgresql-10

セカンダリの設定

postgresqlサービスが停止した状態でdataを空にする。

# rm -r -f /var/lib/pgsql/10/data/*

先程作成したレプリケーション用ユーザーを使用してプライマリからデータをコピーする。
※-Rオプションはrecovery.confを自動作成する指定
※-Pオプションは進捗を表示する指定

# su postgres
$ pg_basebackup -R -h 192.168.0.100 -p 5432 -U replication_user -D /var/lib/pgsql/10/data/ -P

/var/lib/pgsql/10/data/内のすべてのファイルの所有者/所有グループがpostgresになっているか確認する。

ll /var/lib/pgsql/10/data/

/var/lib/pgsql/10/data/postgresql.confを編集して設定を変更する。

hot_standby = on

postgresqlサービスを起動する。

# systemctl start postgresql-10

プライマリサーバーで下記SQLを実行するとレプリケーションされているか確認できる。

SELECT * FROM pg_stat_replication;

フェイルオーバーする際はセカンダリで下記コマンドを実行する。

# su postgres
$ pg_ctl promote -D /var/lib/pgsql/10/data/

CentOS7で設定したIPAサーバー上でsamba共有を行う

環境

・IPAサーバーのFQDNはipa1.local.example.com
・実際にはここの手順で構築したIPAサーバーを使用した

手順

IPAサーバー上でsambaをインストールする。

# yum install samba

IPAサーバーにサービスを追加する。IdMから追加しても良い。

# kinit admin
# ipa service-add cifs/ipa1.local.example.com

keytabを作成する。

# ipa-getkeytab -s ipa1.local.example.com -p cifs/ipa1.local.example.com -k /etc/samba/samba.keytab

共有ディレクトリを作成する。
※root以外がアクセスできないようにする

# mkdir -p /var/samba/share
# chmod 770 /var/samba/share

sambaの設定ファイルを編集する。
※「force user」にrootを指定してファイル操作をrootで実行させる

[global]
unix charset = UTF-8
dos charset = CP932
realm = LOCAL.EXAMPLE.COM
workgroup = LOCAL
security = ads
kerberos method = dedicated keytab
dedicated keytab file = FILE:/etc/samba/samba.keytab

[share]
path = /var/samba/share
create mask = 0660
directory mask = 0770
force user = root
writable = yes
valid users = @testgroup

ファイアウォールに例外を登録する。

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

SELinuxに例外を登録する。

# setsebool -P allow_smbd_anon_write=on
# chcon -R -t public_content_rw_t /var/samba/share

BUILTIN\Guestsグループ(SMBプロトコルを介した匿名アクセス)をnobodyグループにマッピングする。
※これを実行しておかないとエラー(ERROR: failed to setup guest info.)でサービスを起動できない

# net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

サービスを起動する。

# systemctl start smb
# systemctl enable smb

CentOS7でのFreeIPAサーバーの設定

前提条件

※メインメモリが1GBだと失敗するので2GB程度は必要
・プライマリのIPアドレスは192.168.0.10
・セカンダリのIPアドレスは192.168.0.11

プライマリサーバーの設定

FQDNでホスト名を設定する。
※FQDNが192.168.0.10に名前解決できるようにしておく

# hostnamectl set-hostname ipa1.local.example.com

必要なパッケージをインストールする。

# yum install ipa-server ipa-server-dns

対話型のインストーラーを起動する。
※同時にbindも設定してもらう
※DNSフォワーダーも設定する
※そのほかは大体Enterで続行した

# ipa-server-install

ファイアウォールの例外を登録するよう促されるので登録する。
※サービス名で設定する場合は「ldap」ではなく「freeipa-ldap」なので注意
※freeipa-replicationはセカンダリを構築しない場合はいらない

# firewall-cmd --permanent --add-service={freeipa-ldap,freeipa-ldaps,freeipa-replication,dns,ntp,http,https}
# firewall-cmd --reload

参照するDNSサーバーを自身にする。

# nmcli connection modify コネクション名 ipv4.dns 192.168.0.10

初回ログイン時にホームディレクトリを自動生成するよう設定する。

# authconfig --enablemkhomedir --update

セカンダリサーバーの設定

プライマリのIdMにWEBブラウザでアクセスして、セカンダリのhostを追加。

セカンダリのホスト名をFQDNに変更する。
※FQDNが192.168.0.11に名前解決できるようにしておく

# hostnamectl set-hostname ipa2.local.example.com

必要なパッケージをインストールする。

# yum install ipa-server ipa-server-dns

IPAクライアントとして設定する。

# ipa-client-install

初回ログイン時にホームディレクトリを自動生成するよう設定する。

# authconfig --enablemkhomedir --update

ファイアウォールの例外を登録する。

# firewall-cmd --permanent --add-service={freeipa-ldap,freeipa-ldaps,freeipa-replication,dns,ntp,http,https}
# firewall-cmd --reload

レプリカインストールを実行する。
※プライマリからCA設定をコピーするため「–setup-ca」オプション指定
※DNSとしても動作させるため「–setup-dns」オプション指定

# ipa-replica-install --setup-ca --setup-dns --forwarder <forwarderのIPアドレス1> --forwarder <forwarderのIPアドレス2>

参照するDNSサーバーを自身にする。

# nmcli connection modify コネクション名 ipv4.dns 192.168.0.11

CentOS7にPHP7.3とMariaDB5.5をインストール

前提条件

今回の環境はCentOS7.6をクリーンインストールして、SELinuxを無効化してある環境で行う手順です。また、mariadbはローカルからのみ利用する。

手順

EPELリポジトリとRemiリポジトリを追加する。

# yum install epel-release
# yum install http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

Apacheとmariadbをインストールする。

# yum install httpd php73-php mariadb-server php73-php-mysqlnd

mariadbの文字コードをutf8にする。

[mysqld]
character-set-server = utf8

mariadbの初期設定をする。

systemctl enable mariadb
systemctl start mariadb
mysql_secure_installation

CentOS7のSANEを利用してGT-S630のスキャンをCLIで行う

はじめにドライバーをここからダウンロードしてインストールする。

SANEをインストールする。

# yum install sane-backgrounds

そのままでは権限の問題でroot以外ではデバイスが利用できないので、専用グループに権限を与えるudevルールを作成する。
まずは専用グループを作成して、使用するユーザーを加える。

# groupadd scanner
# usermod test-user -a -G scanner

「lsusb」コマンドでベンダーIDとプロダクトIDを調べる。
下記の結果の場合はベンダーIDが04b8でプロダクトIDが0142になる。

Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 002: ID 1c4f:0002 SiGma Micro Keyboard TRACER Gamma Ivory
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 002: ID 04b8:0142 Seiko Epson Corp. GT-F730 [GT-S630/Perfection V33/V330 Photo]
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

調べたベンダーIDとプロダクトIDを使用して下記ファイルを作成する。

ATTRS{idVendor}=="ベンダーID", ATTRS{idProduct}=="プロダクトID", MODE="0664", GROUP="scanner", ENV{libsane_matched}="yes"

あとは下記のようにCLIでスキャンできる。
※ 画質やコントラストの調整をする場合はxsaneをインストールすると便利

$ scanimage --format tiff --mode color --resolution 300 --contrast 35 > /home/test-user/Pictures/test.tiff

VPNでSoftetherVPNサーバー自身(CentOS7)にアクセスする

NICが2枚必要なのでAmazonでUSB接続のNICを購入。

ネットワーク設定する。

# nmcli connection modify enp0s3f3u1 ipv4.method manual
# nmcli connection modify enp0s3f3u1 ipv4.addresses "0.0.0.0/32"
# nmcli connection modify enp0s3f3u1 connection.autoconnect yes
# nmcli connection up enp0s3f3u1

GUIの設定ツールからenp0s3f3u1にブリッジするように設定変更して完了。

CentOS7でdhcpとbindを連携させ家庭内DDNS

インストール

今回はDNSサーバーもDHCPサーバーも1台で兼任させる。
まずインストールする。
※Version bind9.9.4 dhcp4.2.5

# yum install dhcp bind

DNSサーバーの設定

bindから設定する。
下記の箇所の内容を変更または追記する。

options {
    // zoneファイルの保存場所
    directory "/var/named/";
    // ほかのdnsサーバーはいないのでno
    notify no;
    // LAN内からの問い合わせを許可
    allow-query {
        localhost;
        192.168.1.0/24;
    };
    // 自分で名前解決できないときの丸投げ先
    forwarders {
        192.168.1.254;
        8.8.8.8;
    };
};

zone "example.jp." IN {
    type master;
    file "example.jp.zone";
    // 自身からの変更を許可しておく
    allow-update {
        localhost;
    };
};

さっき指定したzoneファイルを作成する。

$TTL 86400
@    IN    SOA    dns.example.jp.    root.example.jp. (
           2018042619
           10800
           36400
           604800
           86400
)

       IN    NS   dns.example.jp.
dns    IN    A    192.168.1.11

作成したらファイルの所有グループをnamedに変更する。
※namedに読み書きの権限を持たせるのが目的

# chgrp named /var/named/example.jp.zone

ついでに/var/named/に対して所有グループにも書き込み権限を設定する。
※namedに書き込みの権限を持たせるのが目的

# chmod 770 /var/named/

DHCPサーバーの設定

設定ファイルを下記のように編集する。

# DNSサーバーに更新要求を送信する設定
ddns-update-style interim;
# 普通のDHCPの設定
subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.101 192.168.1.120;
    option routers 192.168.1.254;
    option domain-name "example.jp";
    option domain-name-servers 192.168.1.11;
    # 更新を通知するDNSサーバーを指定
    zone example.jp. {
        primary localhost;
    }
}

その他の必要な設定

SELinuxとFirewallに例外を追加する。

# setsebool -P named_write_master_zones on
# firewall-cmd --add-service=dns --permanent
# firewall-cmd --add-service=dhcp --permanent

サービスを有効にして起動。

# systemctl enable named
# systemctl start named
# systemctl enable dhcpd
# systemctl start dhcpd

補足

nsupdate

nsupdateを使用してDNSサーバーを更新をテストするには bind-utils をインストールし、nsupdateコマンドを実行する。実行したら対話型コンソールになるので下記のような感じで入力する。何もエラーが出なければOK。

>server 127.0.0.1
>update add test.example.jp. 3600 A 192.168.1.222
>send
>server 127.0.0.1
>update delete test.example.jp.
>send
rndc

rndcでdumpして現在のDNSレコードを確認する。

# rndc dumpdb -zones
# cat /var/named/data/cache_dump.db | grep dns.example.jp.