Резервное копирование и восстановление домена Free IPA, это очень черт побери важно и если вы потеряете данные по домену крупной, да и не очень крупной компании вас никто за это не похвалит. Да и даже потерять данные тестовой среды как произошло в моем случае довольно неприятно.

Резервное копирование FreeIPA

FreeIPA предоставляет встроенные инструменты для создания резервных копий. И это отличный способ обезопасить себя. Можно конечно снимать резервную копию целиком виртуальной машины, но в этом случае восстановление займет больше времени, чем откатить состояние FreeIPA до момента когда все пошло не по плану.

Способы резервного копирования

1. Полное резервное копирование (ipa-backup) — рекомендуется для большинства сценариев. Создаёт полную копию:
   • базы данных LDAP;
   • базы данных Kerberos;
   • сертификатов и ключей ЦС;
   • конфигурации DNS;
   • файлов конфигурации.
2. Резервное копирование только LDAP — создаёт дамп каталога в формате LDIF. Подходит для частичного восстановления.
3. Ручное копирование файлов — подходит для отдельных компонентов, но не гарантирует консистентность данных (а в случае с базой данных LDAP вы определенно простым копированием получите мусор).

Полное резервное копирование (ipa-backup)

Запустите создание резервной копии.

# ipa-backup

Параметры резервного копирования:

• —data — только данные (без конфигурации)
• —online — онлайн‑резервное копирование (без остановки служб)
• —incremental — инкрементальное резервное копирование.

Проверим, что у нас получилось.

• Резервная копия сохраняется в /var/lib/ipa/backup/
• Имя каталога имеет формат ipa-backup-YYYYMMDDHHMMSS

Посмотрим список резервных копий.

# ls -l /var/lib/ipa/backup/
total 0
drwx------ 2 root root 40 May  6 12:37 ipa-data-2026-05-06-12-37-13
drwx------ 2 root root 40 May  6 12:42 ipa-full-2026-05-06-12-42-26
drwx------ 2 root root 40 May  6 13:17 ipa-full-2026-05-06-13-17-28

Резервное копирование только LDAP

Остановите службы FreeIPA.

# ipactl stop

Создайте дамп LDAP.

# ldapsearch -x -D "cn=Directory Manager" -W -b "dc=example,dc=com" -s sub > /path/to/backup.ldif

• Замените dc=example,dc=com на ваш домен.
• Введите пароль администратора каталога (Directory Manager) при запросе.

Запустите службы FreeIPA.

# sudo ipactlil start

В целом FreeIPA можно и не останавливать сделать дамп сразу на рабочем сервере.

Ручное копирование файлов

Важные файлы и каталоги для копирования:

• /etc/ipa/ — конфигурационные файлы;
• /var/lib/ipa/ — данные сервера;
• /var/lib/dirsrv/slapd-*/ — данные LDAP;
• /var/lib/krb5kdc/ — данные Kerberos;
• /etc/pki/ca-trust/ — сертификаты.

Пример команды для архивации:

# tar -czf /path/to/ipa-backup-$(date +%Y%m%d).tar.gz \
    /etc/ipa/ \
    /var/lib/ipa/ \
    /var/lib/dirsrv/slapd-*/ \
    /var/lib/krb5kdc/ \
    /etc/pki/ca-trust/

Восстановление из резервной копии

Восстановление полной копии и отдельно данных отличаается лишь тем, что при полном восстановлении необходимо остановить службу FreeIPA, а при восстановлении данных служба должна быть запущена.

Остановите службу Free IPA.

# systemctl stop ipa
# ipa-restore /var/lib/ipa/backup/ipa-full-2026-05-06-12-42-26/

При восстановлении отдельно данных вам необходимо что бы сервер был запущен и естественно сервер тот же, с которого делали резервную копию данных.

# systemctl start ipa
# ipa-restore /var/lib/ipa/backup/ipa-data-2026-05-06-12-37-13/