Informe de Auditoría: Preparación de Réplica FreeIPA
- Fecha:
2026-02-27
- Proyecto:
Despliegue de Réplica ipa02.raulvilchez.org
- Estado:
Listo para Instalación
Descripción
Este documento detalla las acciones correctivas aplicadas para resolver el fallo de autenticación SASL (Invalid Credentials) durante la promoción del servidor maestro ipa.raulvilchez.org hacia la réplica ipa02.raulvilchez.org.
Hitos de Resolución
1. Sincronización Temporal (Clock Skew)
Se detectó un desfase crítico que impedía la validación de tickets Kerberos.
Acción: Sincronización forzada contra el maestro.
Comando:
chronyd -q 'server ipa.raulvilchez.org iburst'Estado: OK (Verificado con
chronyc sources).
2. Consistencia DNS Inversa (PTR)
El Maestro no podía resolver la IP de la réplica, invalidando el contexto GSSAPI.
Acción: Creación del registro PTR en la zona inversa.
Comando:
ipa dnsrecord-add 17.168.192.in-addr.arpa. 40 --ptr-rec ipa02.raulvilchez.org.Estado: OK (Verificado con
host 192.168.17.40).
3. Seguridad de Red (Firewall)
Los puertos críticos (389, 636, 88, 443) estaban cerrados en el Maestro.
Acción: Apertura manual de puertos por protocolo.
Comando:
firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp}Estado: OK (Verificado mediante túneles TCP desde la réplica).
4. Saneamiento de Identidad (Atomicidad)
Eliminación de residuos de instalaciones fallidas y desbloqueo de cuenta.
- Comandos en Maestro:
kinit adminipa host-del ipa02.raulvilchez.org --updatednsipa user-unlock admin
- Comandos en Réplica:
./ipa-clean.sh
Conclusión de Auditoría
Los cuatro pilares de FreeIPA (Red, Tiempo, DNS e Identidad) están validados. Se procede con el paso final de ejecución del script de réplica.