Отдельная hidden replicas для безопасного full backup FreeIPA

Hidden replica, то есть специальная скрытая реплика FreeIPA, которая не учавствует в обслуживании клиентов, но позволяет производить полный бэкап FreeIPA без перерыва в обслуживании.

2021-04-01

Hidden replicas

Hidden replica доступна с версии FreeIPA 4.9?

Создание скрытой реплики выполняется командой:

ipa-replica-install --hidden-replica

После чего необходимо назначить ей все имеющиеся в домене роли, чтобы full backup имел в себе всю информацию.

При установке скрытой реплили, в DNS отсутствуют её srv-записи, а значит клиенты ничего не знают о её присутствии. Что позволяет выполнять full backup, когда реплика временно переводится в offline-режим, без перерыва в обслуживании клиентов.

При восстановлении из такого бэкапа восстановится обычная реплика, то есть не скрытая.

Есть команда для перевода обычной реплики в скрытую и обратно. Реплика не должна нести роли "CA renewal master" or "DNSSEC key master", иначе, перед понижением её до hidden состояния, необходимо перестить эти роли на другие реплики.