Red Hat Summit8.2. Configuración del servidor maestro de renovación de CA de IdM mediante un libro de jugadas de Ansible
En un despliegue de gestión de identidades (IdM) que utiliza una autoridad de certificación (CA) integrada, el servidor maestro de renovación de CA mantiene y renueva los certificados del sistema IdM. Garantiza que los despliegues de IdM no se interrumpan.
Para obtener más detalles sobre la función del maestro de renovación de CA de IdM, consulte Uso del maestro de renovación de CA de IdM.
El siguiente procedimiento describe cómo puede utilizar un libro de jugadas de Ansible para configurar el servidor maestro de renovación de CA de IdM.
Requisitos previos
- Conoce la contraseña del administrador de IdM.
- Ha instalado el paquete ansible-freeipa en el controlador de Ansible.
Procedimiento
Opcional: Identificar el maestro de renovación de la CA de IdM actual:
$ ipa config-show | grep 'CA renewal master' IPA CA renewal master: server.idm.example.comCree un archivo de inventario, por ejemplo
inventory.file, y defina en élipaserver:[ipaserver] server.idm.example.comAbra el archivo
/usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.ymlAnsible playbook para editarlo:--- - name: Playbook to handle global DNS configuration hosts: ipaserver become: no gather_facts: no tasks: - name: set ca_renewal_master_server ipaconfig: ipaadmin_password: SomeADMINpassword ca_renewal_master_server: carenewal.idm.example.comAdapte el archivo cambiando:
-
La contraseña del administrador de IdM establecida por la variable
ipaadmin_password. -
El nombre del servidor CA maestro establecido por la variable
ca_renewal_master_server.
-
La contraseña del administrador de IdM establecida por la variable
- Guarda el archivo.
Ejecute el playbook de Ansible. Especifique el archivo del libro de jugadas y el archivo de inventario:
$ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml
Pasos de verificación
Puede verificar que el maestro de renovación de la CA ha sido cambiado:
Inicie sesión en
ipaservercomo administrador de IdM:$ ssh admin@server.idm.example.com Password: [admin@server /]$Solicita la identidad del servidor CA maestro de IdM:
$ ipa config-show | grep ‘CA renewal master’ IPA CA renewal master: carenewal.idm.example.comLa salida muestra que el servidor carenewal.idm.example.com es el nuevo maestro de renovación de CA.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}