Installation de la gestion des identités

Procédure

1. Vérifiez que le service firewalld est en cours d'exécution.

   • Pour savoir si firewalld est en cours d'exécution :

     # systemctl status firewalld.service

   • Pour démarrer firewalld et le configurer pour qu'il démarre automatiquement au démarrage du système :

     # systemctl start firewalld.service
     # systemctl enable firewalld.service

2. Ouvrez les ports requis à l'aide de l'utilitaire firewall-cmd. Choisissez l'une des options suivantes :

   1. Ajoutez les ports individuels au pare-feu à l'aide de la commande firewall-cmd --add-port. Par exemple, pour ouvrir les ports dans la zone par défaut :

      # firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}

   2. Ajoutez les services firewalld au pare-feu en utilisant la commande firewall-cmd --add-service. Par exemple, pour ouvrir les ports dans la zone par défaut :

      # firewall-cmd --permanent --add-service={freeipa-ldap,freeipa-ldaps,dns}

      Pour plus de détails sur l'utilisation de firewall-cmd pour ouvrir des ports sur un système, voir la page de manuel firewall-cmd(1).

3. Rechargez la configuration de firewall-cmd pour vous assurer que les modifications sont prises en compte immédiatement :

   # firewall-cmd --reload

   Notez que le rechargement de firewalld sur un système en production peut entraîner des délais de connexion DNS. Si nécessaire, pour éviter le risque de dépassement de délai et pour rendre les modifications persistantes sur le système en cours d'exécution, utilisez l'option --runtime-to-permanent de la commande firewall-cmd, par exemple :

   # firewall-cmd --runtime-to-permanent

4. Optional. Pour vérifier que les ports sont disponibles dès maintenant, utilisez les utilitaires nc, telnet, ou nmap pour vous connecter à un port ou effectuer un balayage des ports.

Procédure

1. (Facultatif) Affichage de l'adresse actuelle umask:

   # umask
   0027

2. Réglez le site umask sur 0022:

   # umask 0022

3. (Facultatif) Une fois l'installation de l'IdM terminée, remettez le site umask à sa valeur d'origine :

   # umask 0027

Procédure

1. Exécutez l'utilitaire ipa-server-install.

   # ipa-server-install

2. Le script invite à configurer un service DNS intégré. Saisissez yes.

   Voulez-vous configurer le DNS intégré (BIND) ? [non] : yes

3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

   • Pour accepter une valeur par défaut, appuyez sur Entrée.

   • Pour fournir une valeur personnalisée, saisissez la valeur requise.

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Avertissement

     Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration Identity Management (IdM) (admin).

   Directory Manager password:
   IPA admin password:

5. Le script demande d'indiquer les redirections DNS par serveur.

   Do you want to configure DNS forwarders? [yes]:

   • Pour configurer les forwarders DNS par serveur, entrez yes, puis suivez les instructions de la ligne de commande. Le processus d'installation ajoutera les adresses IP des transitaires au LDAP de l'IdM.

     • Pour les paramètres par défaut de la politique de transfert, voir la description de --forward-policy dans la page de manuel ipa-dns-install(1).

   • Si vous ne souhaitez pas utiliser la redirection DNS, entrez no.

     En l'absence de redirecteurs DNS, les hôtes de votre domaine IdM ne pourront pas résoudre les noms provenant d'autres domaines DNS internes de votre infrastructure. Les hôtes n'auront plus que les serveurs DNS publics pour résoudre leurs requêtes DNS.

6. Le script demande de vérifier si des enregistrements DNS inverses (PTR) pour les adresses IP associées au serveur doivent être configurés.

   Do you want to search for missing reverse zones? [yes]:

   Si vous exécutez la recherche et que des zones inversées manquantes sont découvertes, le script vous demande s'il faut créer les zones inversées en même temps que les enregistrements PTR.

   Do you want to create reverse zone for IP 192.0.2.1 [yes]:
   Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
   Using reverse zone(s) 2.0.192.in-addr.arpa.

   Note

   L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

7. Entrez yes pour confirmer la configuration du serveur.

   Continuer à configurer le système avec ces valeurs ? [no] : yes

8. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

9. Une fois le script d'installation terminé, mettez à jour vos enregistrements DNS de la manière suivante :

   1. Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

      Important

      Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

   2. Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Exécutez l'utilitaire ipa-server-install avec les options nécessaires pour fournir toutes les informations requises. Les options minimales requises pour une installation non interactive sont les suivantes :

   • --realm pour fournir le nom du domaine Kerberos
   • --ds-password pour fournir le mot de passe du gestionnaire de répertoire (DM), le super utilisateur du serveur de répertoire
   • --admin-password pour fournir le mot de passe de admin, l'administrateur de la gestion des identités (IdM)
   • --unattended pour laisser le processus d'installation sélectionner les options par défaut pour le nom d'hôte et le nom de domaine

   Pour installer un serveur avec DNS intégré, ajoutez également ces options :

   • --setup-dns pour configurer le DNS intégré
   • --forwarder ou --no-forwarders, selon que vous souhaitez ou non configurer des serveurs DNS
   • --auto-reverse ou --no-reverse, selon que l'on souhaite configurer la détection automatique des zones DNS inversées qui doivent être créées dans le DNS IdM ou qu'il n'y ait pas de détection automatique des zones inversées

   Par exemple :

   # ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended --setup-dns --forwarder 192.0.2.1 --no-reverse

2. Une fois le script d'installation terminé, mettez à jour vos enregistrements DNS de la manière suivante :

   1. Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

      Important

      Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

   2. Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Exécutez l'utilitaire ipa-server-install avec l'option --external-ca.

   # ipa-server-install --external-ca

   • Si vous utilisez l'autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option --external-ca-type et, éventuellement, l'option --external-ca-profile:

     [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default

   • Si vous n'utilisez pas MS CS pour générer le certificat de signature de votre AC IdM, aucune autre option n'est nécessaire :

     # ipa-server-install --external-ca

2. Le script demande de configurer un service DNS intégré. Saisissez yes ou no. Dans cette procédure, nous installons un serveur avec DNS intégré.

   Voulez-vous configurer le DNS intégré (BIND) ? [non] : yes

   Note

   Si vous souhaitez installer un serveur sans DNS intégré, le script d'installation ne vous demandera pas de configurer le DNS comme décrit dans les étapes ci-dessous. Voir Chapitre 5, Installation d'un serveur IdM : Sans DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine pour plus de détails sur les étapes de l'installation d'un serveur sans DNS.

3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

   • Pour accepter une valeur par défaut, appuyez sur Entrée.

   • Pour fournir une valeur personnalisée, saisissez la valeur requise.

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Avertissement

     Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration Identity Management (IdM) (admin).

   Directory Manager password:
   IPA admin password:

5. Le script demande d'indiquer les redirections DNS par serveur.

   Do you want to configure DNS forwarders? [yes]:

   • Pour configurer les forwarders DNS par serveur, entrez yes, puis suivez les instructions de la ligne de commande. Le processus d'installation ajoutera les adresses IP des transitaires au LDAP de l'IdM.

     • Pour les paramètres par défaut de la politique de transfert, voir la description de --forward-policy dans la page de manuel ipa-dns-install(1).

   • Si vous ne souhaitez pas utiliser la redirection DNS, entrez no.

     En l'absence de redirecteurs DNS, les hôtes de votre domaine IdM ne pourront pas résoudre les noms provenant d'autres domaines DNS internes de votre infrastructure. Les hôtes n'auront plus que les serveurs DNS publics pour résoudre leurs requêtes DNS.

6. Le script demande de vérifier si des enregistrements DNS inverses (PTR) pour les adresses IP associées au serveur doivent être configurés.

   Do you want to search for missing reverse zones? [yes]:

   Si vous exécutez la recherche et que des zones inversées manquantes sont découvertes, le script vous demande s'il faut créer les zones inversées en même temps que les enregistrements PTR.

   Do you want to create reverse zone for IP 192.0.2.1 [yes]:
   Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
   Using reverse zone(s) 2.0.192.in-addr.arpa.

   Note

   L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

7. Entrez yes pour confirmer la configuration du serveur.

   Continuer à configurer le système avec ces valeurs ? [no] : yes

8. Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) : /root/ipa.csr:

   ...
   
   Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
     [1/8]: creating certificate server user
     [2/8]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
   /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

   Lorsque cela se produit :

   1. Soumettre le CSR situé dans /root/ipa.csr à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe.

   2. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.

      Important

      Veillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.

   3. Exécutez à nouveau ipa-server-install, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem

9. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

10. Une fois le script d'installation terminé, mettez à jour vos enregistrements DNS de la manière suivante :

    1. Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

       Important

       Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

    2. Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

1. Utilisez le script shell suivant pour désactiver les variables d'environnement *_proxy:

   # for i in ftp http https; do unset ${i}_proxy; done

2. Exécutez l'utilitaire pkidestroy pour supprimer l'installation infructueuse du sous-système d'autorité de certification (CA) :

   # pkidestroy -s CA -i pki-tomcat; rm -rf /var/log/pki/pki-tomcat /etc/sysconfig/pki-tomcat /etc/sysconfig/pki/tomcat/pki-tomcat /var/lib/pki/pki-tomcat /etc/pki/pki-tomcat /root/ipa.csr

3. Supprimer l'installation du serveur de gestion des identités (IdM) qui a échoué :

   # ipa-server-install --uninstall

4. Réessayer d'exécuter ipa-server-install --external-ca.

Procédure

1. Exécutez l'utilitaire ipa-server-install et fournissez tous les certificats requis. Par exemple :

   [root@server ~]# ipa-server-install \
       --http-cert-file /tmp/server.crt \
       --http-cert-file /tmp/server.key \
       --http-pin secret \
       --dirsrv-cert-file /tmp/server.crt \
       --dirsrv-cert-file /tmp/server.key \
       --dirsrv-pin secret \
       --ca-cert-file ca.crt

   Voir Certificats requis pour l'installation d'un serveur IdM sans autorité de certification pour plus de détails sur les certificats fournis.

2. Le script demande de configurer un service DNS intégré. Saisissez yes ou no. Dans cette procédure, nous installons un serveur avec DNS intégré.

   Voulez-vous configurer le DNS intégré (BIND) ? [non] : yes

   Note

   Si vous souhaitez installer un serveur sans DNS intégré, le script d'installation ne vous demandera pas de configurer le DNS comme décrit dans les étapes ci-dessous. Voir Installation d'un serveur IdM : Sans DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine pour plus de détails sur les étapes de l'installation d'un serveur sans DNS.

3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

   • Pour accepter une valeur par défaut, appuyez sur Entrée.

   • Pour fournir une valeur personnalisée, saisissez la valeur requise.

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Avertissement

     Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration Identity Management (IdM) (admin).

   Directory Manager password:
   IPA admin password:

5. Le script demande d'indiquer les redirections DNS par serveur.

   Do you want to configure DNS forwarders? [yes]:

   • Pour configurer les forwarders DNS par serveur, entrez yes, puis suivez les instructions de la ligne de commande. Le processus d'installation ajoutera les adresses IP des transitaires au LDAP de l'IdM.

     • Pour les paramètres par défaut de la politique de transfert, voir la description de --forward-policy dans la page de manuel ipa-dns-install(1).

   • Si vous ne souhaitez pas utiliser la redirection DNS, entrez no.

     En l'absence de redirecteurs DNS, les hôtes de votre domaine IdM ne pourront pas résoudre les noms provenant d'autres domaines DNS internes de votre infrastructure. Les hôtes n'auront plus que les serveurs DNS publics pour résoudre leurs requêtes DNS.

6. Le script demande de vérifier si des enregistrements DNS inverses (PTR) pour les adresses IP associées au serveur doivent être configurés.

   Do you want to search for missing reverse zones? [yes]:

   Si vous exécutez la recherche et que des zones inversées manquantes sont découvertes, le script vous demande s'il faut créer les zones inversées en même temps que les enregistrements PTR.

   Do you want to create reverse zone for IP 192.0.2.1 [yes]:
   Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
   Using reverse zone(s) 2.0.192.in-addr.arpa.

   Note

   L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

7. Entrez yes pour confirmer la configuration du serveur.

   Continuer à configurer le système avec ces valeurs ? [no] : yes

8. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

9. Une fois le script d'installation terminé, mettez à jour vos enregistrements DNS de la manière suivante :

   1. Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

      Important

      Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

   2. Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Exécutez l'utilitaire ipa-server-install.

   # ipa-server-install

2. Le script invite à configurer un service DNS intégré. Appuyez sur Entrée pour sélectionner l'option par défaut no.

   Do you want to configure integrated DNS (BIND)? [no]:

3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

   • Pour accepter une valeur par défaut, appuyez sur Entrée.

   • Pour fournir une valeur personnalisée, saisissez la valeur requise.

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Avertissement

     Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration IdM (admin).

   Directory Manager password:
   IPA admin password:

5. Entrez yes pour confirmer la configuration du serveur.

   Continuer à configurer le système avec ces valeurs ? [no] : yes

6. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

7. Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : the /tmp/ipa.system.records.UFRPto.db dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

Procédure

1. Lancer l'utilitaire ipa-server-install avec les options permettant de fournir toutes les informations requises. Les options minimales requises pour une installation non interactive sont les suivantes :

   • --realm pour fournir le nom du domaine Kerberos
   • --ds-password pour fournir le mot de passe du gestionnaire de répertoire (DM), le super utilisateur du serveur de répertoire
   • --admin-password de fournir le mot de passe pour admin, l'administrateur IdM
   • --unattended pour laisser le processus d'installation sélectionner les options par défaut pour le nom d'hôte et le nom de domaine

   Par exemple :

   # ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

2. Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : the /tmp/ipa.system.records.UFRPto.db dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

Procédure

1. Exécutez l'utilitaire ipa-server-install avec l'option --external-ca.

   • Si vous utilisez l'autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option --external-ca-type et, éventuellement, l'option --external-ca-profile:

     [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default

   • Si vous n'utilisez pas MS CS pour générer le certificat de signature de votre AC IdM, aucune autre option n'est nécessaire :

     # ipa-server-install --external-ca

2. Le script invite à configurer un service DNS intégré. Appuyez sur Entrée pour sélectionner l'option par défaut no.

   Do you want to configure integrated DNS (BIND)? [no]:

3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

   • Pour accepter une valeur par défaut, appuyez sur Entrée.

   • Pour fournir une valeur personnalisée, saisissez la valeur requise.

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Avertissement

     Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration IdM (admin).

   Directory Manager password:
   IPA admin password:

5. Entrez yes pour confirmer la configuration du serveur.

   Continuer à configurer le système avec ces valeurs ? [no] : yes

6. Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) : /root/ipa.csr:

   ...
   
   Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
     [1/8]: creating certificate server user
     [2/8]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
   /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

   Lorsque cela se produit :

   1. Soumettre le CSR situé dans /root/ipa.csr à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe.

   2. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.

      Important

      Veillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.

   3. Exécutez à nouveau ipa-server-install, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem

7. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

8. Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : the /tmp/ipa.system.records.UFRPto.db dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

Procédure

1. Lancer l'utilitaire ipa-server-install avec les options nécessaires pour fournir toutes les informations requises. Les options minimales requises pour l'installation non interactive d'un serveur IdM avec une autorité de certification externe en tant qu'autorité de certification racine sont les suivantes :

   • --external-ca pour spécifier qu'une autorité de certification externe est l'autorité de certification racine
   • --realm pour fournir le nom du domaine Kerberos
   • --ds-password pour fournir le mot de passe du gestionnaire de répertoire (DM), le super utilisateur du serveur de répertoire
   • --admin-password de fournir le mot de passe pour admin, l'administrateur IdM

   • --unattended pour laisser le processus d'installation sélectionner les options par défaut pour le nom d'hôte et le nom de domaine

     Par exemple :

     # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

   Si vous utilisez une autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option --external-ca-type et, éventuellement, l'option --external-ca-profile. Pour plus d'informations, voir Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.

2. Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) : /root/ipa.csr:

   ...
   
   Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
     [1/11]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
   /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
   The ipa-server-install command was successful

   Lorsque cela se produit :

   1. Soumettre le CSR situé dans /root/ipa.csr à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe.

   2. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.

      Important

      Veillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.

   3. Exécutez à nouveau ipa-server-install, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

3. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

4. Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : le fichier /tmp/ipa.system.records.UFRPto.db dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

Procédure

1. La commande tail permet d'afficher les dernières lignes d'un fichier journal. L'exemple suivant affiche les 10 dernières lignes de /var/log/ipaserver-install.log.

   [user@server ~]$ sudo tail -n 10 /var/log/ipaserver-install.log
   [sudo] password for user:
   value = gen.send(prev_value)
   File "/usr/lib/python3.6/site-packages/ipapython/install/common.py", line 65, in _install
   for unused in self._installer(self.parent):
   File "/usr/lib/python3.6/site-packages/ipaserver/install/server/init.py", line 564, in main
   master_install(self)
   File "/usr/lib/python3.6/site-packages/ipaserver/install/server/install.py", line 291, in decorated
   raise ScriptError()
   
   2020-05-27T22:59:41Z DEBUG The ipa-server-install command failed, exception: ScriptError:
   2020-05-27T22:59:41Z ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information

2. Pour consulter un fichier journal de manière interactive, ouvrez la fin du fichier journal à l'aide de l'utilitaire less et utilisez les touches fléchées ↑ et ↓ pour naviguer. L'exemple suivant ouvre le fichier /var/log/ipaserver-install.log de manière interactive.

   [user@server ~]$ sudo less -N G /var/log/ipaserver-install.log

3. Recueillez des informations de dépannage supplémentaires en répétant ce processus d'examen avec les fichiers journaux restants.

   [user@server ~]$ sudo less -N +G /var/log/httpd/error_log
   
   [user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
   
   [user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

Procédure

1. Pour examiner un fichier journal de manière interactive, ouvrez la fin du fichier journal à l'aide de l'utilitaire less et utilisez les touches fléchées ↑ et ↓ pour naviguer, tout en recherchant les entrées ScriptError. L'exemple suivant ouvre /var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log.

   [user@server ~]$ sudo less -N G /var/log/pki/pki-ca-spawn.20200527185902.log

2. Recueillez des informations de dépannage supplémentaires en répétant ce processus d'examen avec tous les fichiers journaux énumérés ci-dessus.

Procédure

1. Désinstallez le logiciel du serveur IdM de l'hôte que vous essayez de configurer comme serveur IdM.

   [root@server ~]# ipa-server-install --uninstall

2. Si vous continuez à éprouver des difficultés à installer un serveur IdM en raison d'échecs répétés, réinstallez le système d'exploitation.

   L'une des conditions requises pour l'installation d'un serveur IdM est de disposer d'un système propre, sans aucune personnalisation. Les installations qui ont échoué peuvent avoir compromis l'intégrité de l'hôte en modifiant de manière inattendue les fichiers du système.

Procédure

1. Exécutez l'utilitaire ipa-client-install sur le système que vous souhaitez configurer en tant que client IdM.

   # ipa-client-install --mkhomedir

   Ajoutez l'option --enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP du système client si l'une des conditions suivantes s'applique :

   • Le serveur IdM auprès duquel le client sera enrôlé a été installé avec un DNS intégré
   • Le serveur DNS sur le réseau accepte les mises à jour des entrées DNS avec le protocole GSS-TSIG

   # ipa-client-install --enable-dns-updates --mkhomedir

   L'activation des mises à jour DNS est utile si votre client :

   • possède une adresse IP dynamique émise à l'aide du protocole de configuration dynamique de l'hôte (Dynamic Host Configuration Protocol)
   • possède une adresse IP statique mais celle-ci vient d'être attribuée et le serveur IdM n'en a pas connaissance

2. Le script d'installation tente d'obtenir automatiquement tous les paramètres requis, tels que les enregistrements DNS.

   • Si les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises et les affiche. Saisissez yes pour confirmer.

     Client hostname: client.example.com
     Realm: EXAMPLE.COM
     DNS Domain: example.com
     IPA Server: server.example.com
     BaseDN: dc=example,dc=com
     
     Continue to configure the system with these values? [no]: yes

   • Pour installer le système avec des valeurs différentes, entrez no. Exécutez ensuite à nouveau ipa-client-install et spécifiez les valeurs requises en ajoutant des options de ligne de commande à ipa-client-install, par exemple :

     • --hostname
     • --realm
     • --domain
     • --server
     • --mkhomedir
     Important

     Le nom de domaine pleinement qualifié doit être un nom DNS valide :

     • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
     • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.
   • Si le script ne parvient pas à obtenir certains paramètres automatiquement, il vous demande de fournir les valeurs.

3. Le script demande un utilisateur dont l'identité sera utilisée pour inscrire le client. Il peut s'agir, par exemple, d'un utilisateur hostadmin ayant le rôle d'administrateur d'inscription :

   User authorized to enroll computers: hostadmin
   Password for hostadmin@EXAMPLE.COM:

4. Le script d'installation configure maintenant le client. Attendez la fin de l'opération.

   Client configuration complete.

Procédure

1. Exécutez l'utilitaire ipa-client-install sur le système que vous souhaitez configurer en tant que client IdM.

   Utilisez l'option --password pour fournir un mot de passe aléatoire à usage unique. Comme le mot de passe contient souvent des caractères spéciaux, mettez-le entre guillemets simples (').

   # ipa-client-install --mkhomedir --password=password

   Ajoutez l'option --enable-dns-updates pour mettre à jour les enregistrements DNS avec l'adresse IP du système client si l'une des conditions suivantes s'applique :

   • Le serveur IdM auprès duquel le client sera enrôlé a été installé avec un DNS intégré
   • Le serveur DNS sur le réseau accepte les mises à jour des entrées DNS avec le protocole GSS-TSIG

   # ipa-client-install --password 'W5YpARl=7M.n' --enable-dns-updates --mkhomedir

   L'activation des mises à jour DNS est utile si votre client :

   • possède une adresse IP dynamique émise à l'aide du protocole de configuration dynamique de l'hôte (Dynamic Host Configuration Protocol)
   • possède une adresse IP statique mais celle-ci vient d'être attribuée et le serveur IdM n'en a pas connaissance

2. Le script d'installation tente d'obtenir automatiquement tous les paramètres requis, tels que les enregistrements DNS.

   • Si les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises et les affiche. Saisissez yes pour confirmer.

     Client hostname: client.example.com
     Realm: EXAMPLE.COM
     DNS Domain: example.com
     IPA Server: server.example.com
     BaseDN: dc=example,dc=com
     
     Continue to configure the system with these values? [no]: yes

   • Pour installer le système avec des valeurs différentes, entrez no. Exécutez ensuite à nouveau ipa-client-install et spécifiez les valeurs requises en ajoutant des options de ligne de commande à ipa-client-install, par exemple :

     • --hostname
     • --realm
     • --domain
     • --server
     • --mkhomedir
     Important

     Le nom de domaine pleinement qualifié doit être un nom DNS valide :

     • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
     • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.
   • Si le script ne parvient pas à obtenir certains paramètres automatiquement, il vous demande de fournir les valeurs.

3. Le script d'installation configure maintenant le client. Attendez la fin de l'opération.

   Client configuration complete.

1. Ouvrez /etc/openldap/ldap.conf et /etc/sssd/sssd.conf.
2. Effacer la configuration précédente.
3. Décommenter la nouvelle configuration IdM.
4. Les processus de serveur qui reposent sur une configuration LDAP à l'échelle du système peuvent nécessiter un redémarrage pour appliquer les modifications. Les applications qui utilisent les bibliothèques openldap importent généralement la configuration lorsqu'elles sont lancées.

Procédure

1. Pré-créer l'entrée de l'hôte sur le serveur IdM et définir un mot de passe temporaire pour l'entrée :

   $ ipa host-add client.example.com --password=secret

   Le mot de passe est utilisé par Kickstart pour s'authentifier lors de l'installation du client et expire après la première tentative d'authentification. Une fois que le client est installé avec succès, il s'authentifie à l'aide de sa table de clés.

2. Créez un fichier Kickstart avec le contenu décrit dans Section 14.2, « Fichier de démarrage pour l'installation du client ». Assurez-vous que le réseau est correctement configuré dans le fichier Kickstart à l'aide de la commande network.
3. Utilisez le fichier Kickstart pour installer le client IdM.

Procédure

1. Utilisez l'utilitaire grep pour récupérer toutes les occurrences du mot-clé ScriptError dans le fichier /var/log/ipaserver-install.log.

   [user@server ~]$ sudo grep ScriptError /var/log/ipaclient-install.log
   [sudo] password for user:
   2020-05-28T18:24:50Z DEBUG The ipa-client-install command failed, exception: ScriptError: One of password / principal / keytab is required.

2. Pour consulter un fichier journal de manière interactive, ouvrez la fin du fichier journal à l'aide de l'utilitaire less et utilisez les touches fléchées ↑ et ↓ pour naviguer.

   [user@server ~]$ sudo less -N G /var/log/ipaclient-install.log

Procédure

1. Assurez-vous que les mises à jour dynamiques de la zone DNS dans laquelle se trouve le client sont activées :

   [user@server ~]$ ipa dnszone-mod idm.example.com. --dynamic-update=TRUE

2. Assurez-vous que le serveur IdM exécutant le service DNS a le port 53 ouvert pour les protocoles TCP et UDP.

   [user@server ~]$ sudo firewall-cmd --permanent --add-port=53/tcp --add-port=53/udp
   [sudo] password for user:
   success
   [user@server ~]$ firewall-cmd --runtime-to-permanent
   success

3. Utilisez l'utilitaire grep pour récupérer le contenu des commandes nsupdate à partir de /var/log/client-install.log afin de voir quelles mises à jour d'enregistrements DNS échouent.

   [user@server ~]$ sudo grep nsupdate /var/log/ipaclient-install.log

Procédure

1. Retirer /etc/krb5.keytab.

   [user@client ~]$ sudo rm /etc/krb5.keytab
   [sudo] password for user:
   [user@client ~]$ ls /etc/krb5.keytab
   ls: cannot access '/etc/krb5.keytab': No such file or directory

2. Réessayer l'installation du client IdM.

1. Recréez la machine cliente avec le même nom d'hôte.

2. Exécutez la commande ipa-client-install --force-join sur la machine cliente :

   # ipa-client-install --force-join

3. Le script demande un utilisateur dont l'identité sera utilisée pour réinscrire le client. Il peut s'agir, par exemple, d'un utilisateur hostadmin ayant le rôle d'administrateur d'inscription :

   User authorized to enroll computers: hostadmin
   Password for hostadmin@EXAMPLE.COM:

1. Recréez la machine cliente avec le même nom d'hôte.
2. Copiez le fichier keytab de l'emplacement de sauvegarde dans le répertoire /etc/ sur l'ordinateur client recréé.

3. Utilisez l'utilitaire ipa-client-install pour réinscrire le client et spécifiez l'emplacement du fichier keytab à l'aide de l'option --keytab:

   # ipa-client-install --keytab /etc/krb5.keytab

   Note

   Le keytab spécifié dans l'option --keytab n'est utilisé que lors de l'authentification pour initier l'inscription. Lors de la réinscription, l'IdM génère un nouveau keytab pour le client.

Procédure

1. Entrez la commande ipa-client-install --uninstall:

   [root@client ~]# ipa-client-install --uninstall

2. Facultatif : Vérifiez que vous ne pouvez pas obtenir de ticket Kerberos (TGT) pour un utilisateur IdM :

   [root@client ~]# kinit admin
   kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
   [root@client ~]#

   Si un ticket TGT Kerberos a été renvoyé avec succès, suivez les étapes de désinstallation supplémentaires dans Désinstallation d'un client IdM : étapes supplémentaires après plusieurs installations antérieures.

3. Sur le client, supprimez les anciens mandants Kerberos de chaque keytab identifié autre que /etc/krb5.keytab:

   [root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM

4. Sur un serveur IdM, supprimez toutes les entrées DNS pour l'hôte du client dans IdM :

   [root@server ~]# ipa dnsrecord-del
   Record name: old-client-name
   Zone name: idm.example.com
   No option to delete specific record provided.
   Delete all? Yes/No (default No): yes
   ------------------------
   Deleted record "old-client-name"

5. Sur le serveur IdM, supprimez l'entrée de l'hôte du client du serveur LDAP IdM. Cette opération supprime tous les services et révoque tous les certificats émis pour cet hôte :

   [root@server ~]# ipa host-del client.idm.example.com

   Important

   La suppression de l'entrée de l'hôte du client du serveur LDAP IdM est cruciale si vous pensez réinscrire le client à l'avenir, avec une adresse IP ou un nom d'hôte différent.

Procédure

1. Vérifiez le fichier /etc/krb5.conf.ipa:

   • Si le contenu du fichier /etc/krb5.conf.ipa est identique au contenu du fichier krb5.conf avant l'installation du client IdM, vous pouvez :

     1. Supprimez le fichier /etc/krb5.conf:

        # rm /etc/krb5.conf

     2. Renommez le fichier /etc/krb5.conf.ipa en /etc/krb5.conf:

        # mv /etc/krb5.conf.ipa /etc/krb5.conf

   • Si le contenu du fichier /etc/krb5.conf.ipa n'est pas le même que celui du fichier krb5.conf avant l'installation du client IdM, vous pouvez au moins restaurer la configuration Kerberos dans l'état où elle se trouvait juste après l'installation du système d'exploitation :

   1. Réinstallez le paquet krb5-libs:

      # dnf reinstall krb5-libs

      En tant que dépendance, cette commande réinstallera également le paquet krb5-workstation et la version originale du fichier /etc/krb5.conf.

2. Supprime le fichier var/log/ipaclient-install.log s'il est présent.

Procédure

1. Entrez la commande ipa-client-install --uninstall:

   [root@client ~]# ipa-client-install --uninstall

2. Facultatif : Vérifiez que vous ne pouvez pas obtenir de ticket Kerberos (TGT) pour un utilisateur IdM :

   [root@client ~]# kinit admin
   kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
   [root@client ~]#

   Si un ticket TGT Kerberos a été renvoyé avec succès, suivez les étapes de désinstallation supplémentaires dans Désinstallation d'un client IdM : étapes supplémentaires après plusieurs installations antérieures.

3. Sur le client, supprimez les anciens mandants Kerberos de chaque keytab identifié autre que /etc/krb5.keytab:

   [root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM

4. Sur un serveur IdM, supprimez toutes les entrées DNS pour l'hôte du client dans IdM :

   [root@server ~]# ipa dnsrecord-del
   Record name: old-client-name
   Zone name: idm.example.com
   No option to delete specific record provided.
   Delete all? Yes/No (default No): yes
   ------------------------
   Deleted record "old-client-name"

5. Sur le serveur IdM, supprimez l'entrée de l'hôte du client du serveur LDAP IdM. Cette opération supprime tous les services et révoque tous les certificats émis pour cet hôte :

   [root@server ~]# ipa host-del client.idm.example.com

   Important

   La suppression de l'entrée de l'hôte du client du serveur LDAP IdM est cruciale si vous pensez réinscrire le client à l'avenir, avec une adresse IP ou un nom d'hôte différent.

Procédure

1. Vérifiez le fichier /etc/krb5.conf.ipa:

   • Si le contenu du fichier /etc/krb5.conf.ipa est identique au contenu du fichier krb5.conf avant l'installation du client IdM, vous pouvez :

     1. Supprimez le fichier /etc/krb5.conf:

        # rm /etc/krb5.conf

     2. Renommez le fichier /etc/krb5.conf.ipa en /etc/krb5.conf:

        # mv /etc/krb5.conf.ipa /etc/krb5.conf

   • Si le contenu du fichier /etc/krb5.conf.ipa n'est pas le même que celui du fichier krb5.conf avant l'installation du client IdM, vous pouvez au moins restaurer la configuration Kerberos dans l'état où elle se trouvait juste après l'installation du système d'exploitation :

   1. Réinstallez le paquet krb5-libs:

      # dnf reinstall krb5-libs

      En tant que dépendance, cette commande réinstallera également le paquet krb5-workstation et la version originale du fichier /etc/krb5.conf.

2. Supprime le fichier var/log/ipaclient-install.log s'il est présent.

Procédure

1. Entrez dans ipa-replica-install avec ces options :

   • --setup-dns pour configurer le réplica en tant que serveur DNS

   • --forwarder pour spécifier un transitaire par serveur, ou --no-forwarder si vous ne voulez pas utiliser de transitaires par serveur. Pour spécifier plusieurs transitaires par serveur pour des raisons de basculement, utilisez plusieurs fois --forwarder.

     Note

     L'utilitaire ipa-replica-install accepte un certain nombre d'autres options liées aux paramètres DNS, telles que --no-reverse ou --no-host-dns. Pour plus d'informations à ce sujet, consultez la page de manuel ipa-replica-install(1).

   • --setup-ca pour inclure une autorité de certification sur la réplique

   Par exemple, pour configurer une réplique avec un serveur DNS intégré et une autorité de certification qui transmet toutes les demandes DNS non gérées par les serveurs IdM au serveur DNS fonctionnant sur l'adresse IP 192.0.2.1 :

   # ipa-replica-install --setup-dns --forwarder 192.0.2.1 --setup-ca

2. Une fois l'installation terminée, ajoutez une délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.com, ajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

   Important

   Répétez cette étape chaque fois que vous installez un serveur DNS IdM.

Procédure

1. Entrez dans ipa-replica-install avec ces options :

   • --setup-dns pour configurer le réplica en tant que serveur DNS
   • --forwarder pour spécifier un transitaire par serveur, ou --no-forwarder si vous ne voulez pas utiliser de transitaires par serveur. Pour spécifier plusieurs transitaires par serveur pour des raisons de basculement, utilisez plusieurs fois --forwarder.

   Par exemple, pour configurer une réplique avec un serveur DNS intégré qui transmet toutes les demandes DNS non gérées par les serveurs IdM au serveur DNS fonctionnant sur l'adresse IP 192.0.2.1 :

   # ipa-replica-install --setup-dns --forwarder 192.0.2.1

   Note

   L'utilitaire ipa-replica-install accepte un certain nombre d'autres options liées aux paramètres DNS, telles que --no-reverse ou --no-host-dns. Pour plus d'informations à ce sujet, consultez la page de manuel ipa-replica-install(1).

2. Une fois l'installation terminée, ajoutez une délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.com, ajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

   Important

   Répétez cette étape chaque fois que vous installez un serveur DNS IdM.

Procédure

1. Entrez ipa-replica-install avec l'option --setup-ca.

   # ipa-replica-install --setup-ca

2. Ajoutez les enregistrements du service DNS IdM nouvellement créés à votre serveur DNS :

   1. Exporter les enregistrements du service DNS IdM dans un fichier au format nsupdate:

      $ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate

   2. Soumettez une demande de mise à jour DNS à votre serveur DNS à l'aide de l'utilitaire nsupdate et du fichier dns_records_file.nsupdate. Pour plus d'informations, voir Mise à jour des enregistrements DNS externes à l'aide de nsupdate dans la documentation RHEL 7. Vous pouvez également vous référer à la documentation de votre serveur DNS pour l'ajout d'enregistrements DNS.

Procédure

1. Créez un utilisateur sur la nouvelle réplique :

   [admin@new_replica ~]$ ipa user-add test_user

2. Assurez-vous que l'utilisateur est visible sur une autre réplique :

   [admin@another_replica ~]$ ipa user-show test_user

Procédure

1. Utilisez la commande tail pour afficher les dernières erreurs du fichier journal primaire /var/log/ipareplica-install.log. L'exemple suivant affiche les 10 dernières lignes.

   [user@replica ~]$ sudo tail -n 10 /var/log/ipareplica-install.log
   [sudo] password for user:
     func(installer)
   File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 424, in decorated
     func(installer)
   File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 785, in promote_check
     ensure_enrolled(installer)
   File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 740, in ensure_enrolled
     raise ScriptError("Configuration of client side components failed!")
   
   2020-05-28T18:24:51Z DEBUG The ipa-replica-install command failed, exception: ScriptError: Configuration of client side components failed!
   2020-05-28T18:24:51Z ERROR Configuration of client side components failed!
   2020-05-28T18:24:51Z ERROR The ipa-replica-install command failed. See /var/log/ipareplica-install.log for more information

2. Pour consulter le fichier journal de manière interactive, ouvrez la fin du fichier journal à l'aide de l'utilitaire less et utilisez les touches fléchées ↑ et ↓ pour naviguer.

   [user@replica ~]$ sudo less -N G /var/log/ipareplica-install.log

3. (Facultatif) Bien que /var/log/ipareplica-install.log soit le fichier journal principal pour une installation de réplica, vous pouvez recueillir des informations de dépannage supplémentaires en répétant ce processus d'examen avec d'autres fichiers sur le réplica et le serveur.

   Sur la réplique :

   [user@replica ~]$ sudo less -N +G /var/log/ipareplica-conncheck.log
   [user@replica ~]$ sudo less -N +G /var/log/ipaclient-install.log
   [user@replica ~]$ sudo less -N +G /var/log/httpd/error_log
   [user@replica ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
   [user@replica ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors
   [user@replica ~]$ sudo less -N +G /var/log/ipaserver-install.log

   Sur le serveur :

   [user@server ~]$ sudo less -N +G /var/log/httpd/error_log
   [user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
   [user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

Procédure

1. Pour examiner un fichier journal de manière interactive, ouvrez la fin du fichier journal à l'aide de l'utilitaire less et utilisez les touches fléchées ↑ et ↓ pour naviguer, tout en recherchant les entrées ScriptError. L'exemple suivant ouvre /var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log.

   [user@server ~]$ sudo less -N G /var/log/pki/pki-ca-spawn.20200527185902.log

2. Recueillez des informations de dépannage supplémentaires en répétant ce processus d'examen avec tous les fichiers journaux d'erreur de l'installation de CA.

Procédure

1. Désinstallez le logiciel du serveur IdM sur l'hôte que vous essayez de configurer comme réplique IdM.

   [root@replica ~]# ipa-server-install --uninstall

2. Sur tous les autres serveurs de la topologie, utilisez la commande ipa server-del pour supprimer toutes les références au réplica qui ne s'est pas installé correctement.

   [root@other-replica ~]# ipa server-del replica.idm.example.com

3. Tenter d'installer la réplique.

4. Si vous continuez à éprouver des difficultés à installer une réplique IdM en raison d'échecs répétés, réinstallez le système d'exploitation.

   L'une des conditions requises pour l'installation d'une réplique IdM est un système propre, sans aucune personnalisation. Les installations qui ont échoué peuvent avoir compromis l'intégrité de l'hôte en modifiant de manière inattendue les fichiers du système.

Procédure

1. Synchroniser les horloges du système manuellement ou à l'aide de chronyd.

   Synchronisation manuelle

   Affichez l'heure du système sur le serveur et réglez l'heure de la réplique pour qu'elle corresponde.

   [user@server ~]$ date
   Thu May 28 21:03:57 EDT 2020
   
   [user@replica ~]$ sudo timedatectl set-time '2020-05-28 21:04:00'

   • Synchronizing with chronyd:

     Voir Utilisation de la suite Chrony pour configurer NTP pour configurer et régler l'heure du système avec les outils chrony.

2. Réessayez l'installation de la réplique IdM.

1. Sélectionner Serveur IPA → Topologie → Graphique de la topologie.
2. Si vous apportez des modifications à la topologie qui ne sont pas immédiatement reflétées dans le graphique, cliquez sur Actualiser.

Procédure

1. Dans le graphique topologique, passez votre souris sur l'un des nœuds de serveur.

   Figure 23.9. Options de domaine ou d'autorité de certification

   
2. Cliquez sur la partie domain ou ca du cercle en fonction du type de segment topologique que vous souhaitez créer.

3. Une nouvelle flèche représentant le nouvel accord de réplication apparaît sous le pointeur de votre souris. Déplacez votre souris vers l'autre nœud de serveur et cliquez dessus.

   Figure 23.10. Création d'un nouveau segment

   
4. Dans la fenêtre Add topology segment, cliquez sur Ajouter pour confirmer les propriétés du nouveau segment.

Procédure

1. Cliquez sur une flèche représentant l'accord de réplication que vous souhaitez supprimer. La flèche est mise en évidence.

   Figure 23.12. Segment de topologie mis en évidence

   
2. Click Delete.
3. Dans la fenêtre Confirmation, cliquez sur OK.

Procédure

1. Utilisez la commande ipa topologysegment-add pour créer un segment de topologie pour les deux serveurs. Lorsque vous y êtes invité, fournissez :

   • le suffixe topologique requis : domain ou ca
   • le nœud gauche et le nœud droit, représentant les deux serveurs

   • éventuellement, un nom personnalisé pour le segment

     Par exemple :

     $ ipa topologysegment-add
     Suffix name: domain
     Left node: server1.example.com
     Right node: server2.example.com
     Segment name [server1.example.com-to-server2.example.com]: new_segment
     ---------------------------
     Added segment "new_segment"
     ---------------------------
       Segment name: new_segment
       Left node: server1.example.com
       Right node: server2.example.com
       Connectivity: both

     L'ajout du nouveau segment joint les serveurs dans un accord de réplication.

2. Optional. Utilisez la commande ipa topologysegment-show pour vérifier que le nouveau segment est configuré.

   $ ipa topologysegment-show
   Suffix name: domain
   Segment name: new_segment
     Segment name: new_segment
     Left node: server1.example.com
     Right node: server2.example.com
     Connectivity: both

Procédure

1. Pour arrêter la réplication, vous devez supprimer le segment de réplication correspondant entre les serveurs. Pour ce faire, vous devez connaître le nom du segment.

   Si vous ne connaissez pas le nom, utilisez la commande ipa topologysegment-find pour afficher tous les segments et localisez le segment requis dans la sortie. Lorsque vous y êtes invité, indiquez le suffixe de topologie requis : domain ou ca. Par exemple :

   $ ipa topologysegment-find
   Suffix name: domain
   ------------------
   8 segments matched
   ------------------
     Segment name: new_segment
     Left node: server1.example.com
     Right node: server2.example.com
     Connectivity: both
   
   ...
   
   ----------------------------
   Number of entries returned 8
   ----------------------------

2. Utilisez la commande ipa topologysegment-del pour supprimer le segment topologique reliant les deux serveurs.

   $ ipa topologysegment-del
   Suffix name: domain
   Segment name: new_segment
   -----------------------------
   Deleted segment "new_segment"
   -----------------------------

   La suppression du segment supprime l'accord de réplication.

3. Optional. Utilisez la commande ipa topologysegment-find pour vérifier que le segment n'est plus répertorié.

   $ ipa topologysegment-find
   Suffix name: domain
   ------------------
   7 segments matched
   ------------------
     Segment name: server2.example.com-to-server3.example.com
     Left node: server2.example.com
     Right node: server3.example.com
     Connectivity: both
   
   ...
   
   ----------------------------
   Number of entries returned 7
   ----------------------------

1. Sélectionner Serveur IPA → Topologie → Serveurs IPA.

2. Cliquez sur le nom du serveur que vous souhaitez supprimer.

   Figure 23.14. Sélection d'un serveur

   
3. Cliquez sur Supprimer le serveur.

1. Sur un autre serveur, exécutez la commande ipa server-del pour supprimer server1.example.com. La commande supprime tous les segments topologiques pointant vers le serveur :

   [user@server2 ~]$ ipa server-del
   Server name: server1.example.com
   Removing server1.example.com from replication topology, please wait...
   ----------------------------------------------------------
   Deleted IPA server "server1.example.com"
   ----------------------------------------------------------

2. Optionalle programme de désinstallation du serveur se trouve à l'adresse suivante : server1.example.com, exécutez la commande ipa server-install --uninstall pour désinstaller les composants du serveur de l'ordinateur.

   [root@server1 ~]# ipa server-install --uninstall

1. Activer le référentiel requis :

   # subscription-manager repos --enable rhel-9-for-x86_64-appstream-rpms

2. Installer les rôles Ansible IdM :

   # dnf install ansible-freeipa

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.

3. Spécifiez que vous voulez utiliser le DNS intégré en ajoutant l'option suivante :

   ipaserver_setup_dns=yes

4. Spécifiez les paramètres de transfert DNS. Choisissez l'une des options suivantes :

   • Utilisez l'option ipaserver_auto_forwarders=yes si vous souhaitez que le programme d'installation utilise les redirections du fichier /etc/resolv.conf. N'utilisez pas cette option si le serveur de noms spécifié dans le fichier /etc/resolv.conf est l'adresse localhost 127.0.0.1 ou si vous êtes sur un réseau privé virtuel et que les serveurs DNS que vous utilisez sont normalement inaccessibles depuis l'internet public.
   • Utilisez l'option ipaserver_forwarders pour spécifier manuellement vos transitaires. Le processus d'installation ajoute les adresses IP des transitaires au fichier /etc/named.conf du serveur IdM installé.

   • L'option ipaserver_no_forwarders=yes permet de configurer les serveurs DNS racine à utiliser à la place.

     Note

     En l'absence de transitaires DNS, votre environnement est isolé et les noms des autres domaines DNS de votre infrastructure ne sont pas résolus.

5. Spécifiez les paramètres de l'enregistrement inverse et de la zone DNS. Choisissez parmi les options suivantes :

   • Utilisez l'option ipaserver_allow_zone_overlap=yes pour autoriser la création d'une zone (inverse) même si la zone est déjà résoluble.
   • Utilisez l'option ipaserver_reverse_zones pour spécifier manuellement vos zones inversées.

   • Utilisez l'option ipaserver_no_reverse=yes si vous ne souhaitez pas que le programme d'installation crée une zone DNS inversée.

     Note

     L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

6. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

7. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire stockés dans un fichier Ansible Vault

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire à partir d'un fichier d'inventaire

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.
3. Assurez-vous que l'option ipaserver_setup_dns est définie sur no ou qu'elle est absente.
4. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

5. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire stockés dans un fichier Ansible Vault

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire à partir d'un fichier d'inventaire

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Exécutez la commande ansible-playbook avec le nom du fichier playbook, par exemple install-server.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/install-server.yml

   Spécifiez le niveau de verbosité en utilisant l'option -v, -vv, ou -vvv.

   Vous pouvez visualiser la sortie du script Ansible playbook sur l'interface de ligne de commande (CLI). La sortie suivante montre que le script s'est exécuté avec succès puisque 0 tâche a échoué :

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. Choisissez l'une des options suivantes :

   • Si votre déploiement IdM utilise un DNS externe : ajoutez les enregistrements de ressources DNS contenus dans le fichier /tmp/ipa.system.records.UFRPto.db aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

   • Si votre déploiement IdM utilise le DNS intégré :

     • Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

       Important

       Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

     • Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.

3. Spécifiez que vous voulez utiliser le DNS intégré en ajoutant l'option suivante :

   ipaserver_setup_dns=yes

4. Spécifiez les paramètres de transfert DNS. Choisissez l'une des options suivantes :

   • Utilisez l'option ipaserver_auto_forwarders=yes si vous souhaitez que le processus d'installation utilise les redirections du fichier /etc/resolv.conf. Cette option n'est pas recommandée si le serveur de noms spécifié dans le fichier /etc/resolv.conf est l'adresse localhost 127.0.0.1 ou si vous êtes sur un réseau privé virtuel et que les serveurs DNS que vous utilisez sont normalement inaccessibles depuis l'internet public.
   • Utilisez l'option ipaserver_forwarders pour spécifier manuellement vos transitaires. Le processus d'installation ajoute les adresses IP des transitaires au fichier /etc/named.conf du serveur IdM installé.

   • L'option ipaserver_no_forwarders=yes permet de configurer les serveurs DNS racine à utiliser à la place.

     Note

     En l'absence de transitaires DNS, votre environnement est isolé et les noms des autres domaines DNS de votre infrastructure ne sont pas résolus.

5. Spécifiez les paramètres de l'enregistrement inverse et de la zone DNS. Choisissez parmi les options suivantes :

   • Utilisez l'option ipaserver_allow_zone_overlap=yes pour autoriser la création d'une zone (inverse) même si la zone est déjà résoluble.
   • Utilisez l'option ipaserver_reverse_zones pour spécifier manuellement vos zones inversées.

   • Utilisez l'option ipaserver_no_reverse=yes si vous ne souhaitez pas que le processus d'installation crée une zone DNS inversée.

     Note

     L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

6. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

7. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoute ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

8. Créez un playbook pour la première étape de l'installation. Saisissez les instructions pour générer la demande de signature de certificat (CSR) et la copier du contrôleur vers le nœud géré.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

9. Créez un autre playbook pour la dernière étape de l'installation.

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.
3. Assurez-vous que l'option ipaserver_setup_dns est définie sur no ou qu'elle est absente.
4. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

5. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

6. Créez un playbook pour la première étape de l'installation. Saisissez les instructions pour générer la demande de signature de certificat (CSR) et la copier du contrôleur vers le nœud géré.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

7. Créez un autre playbook pour la dernière étape de l'installation.

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Exécutez la commande ansible-playbook avec le nom du fichier playbook qui contient les instructions pour la première étape de l'installation, par exemple install-server-step1.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step1.yml

   Spécifiez le niveau de verbosité en utilisant l'option -v, -vv ou -vvv.

   Vous pouvez visualiser la sortie du script Ansible playbook sur l'interface de ligne de commande (CLI). La sortie suivante montre que le script s'est exécuté avec succès puisque 0 tâche a échoué :

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. Localisez le fichier de demande de signature de certificat ipa.csr sur le contrôleur et soumettez-le à l'autorité de certification externe.
3. Placez le certificat de l'autorité de certification IdM signé par l'autorité de certification externe dans le système de fichiers du contrôleur de manière à ce que le manuel de jeu de l'étape suivante puisse le trouver.

4. Exécutez la commande ansible-playbook avec le nom du fichier playbook qui contient les instructions pour la dernière étape de l'installation, par exemple install-server-step2.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step2.yml

5. Choisissez l'une des options suivantes :

   • Si votre déploiement IdM utilise un DNS externe : ajoutez les enregistrements de ressources DNS contenus dans le fichier /tmp/ipa.system.records.UFRPto.db aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

   • Si votre déploiement IdM utilise le DNS intégré :

     • Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

       Important

       Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

     • Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) des hôtes qui deviendront des répliques IdM. Les FQDN doivent être des noms DNS valides :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.

   • Le nom d'hôte doit être en minuscules.

     Exemple d'un fichier hosts d'inventaire simple avec seulement le FQDN des répliques défini

     [ipareplicas]
     replica1.idm.example.com
     replica2.idm.example.com
     replica3.idm.example.com
     [...]

     Si le serveur IdM est déjà déployé et que les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises.

2. [Facultatif] Fournissez des informations supplémentaires dans le fichier d'inventaire en fonction de la façon dont vous avez conçu votre topologie :

   Scénario 1

   Si vous souhaitez éviter l'autodécouverte et que toutes les répliques répertoriées dans la section [ipareplicas] utilisent un serveur IdM spécifique, définissez le serveur dans la section [ipaservers] du fichier d'inventaire.

   Exemple de fichier hosts d'inventaire avec le FQDN du serveur IdM et les répliques définies

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]

   Scénario 2

   Par ailleurs, si vous souhaitez éviter la découverte automatique mais déployer des répliques spécifiques avec des serveurs spécifiques, définissez les serveurs pour des répliques spécifiques individuellement dans la section [ipareplicas] du fichier d'inventaire.

   Exemple de fichier d'inventaire avec un serveur IdM spécifique défini pour une réplique spécifique

   [ipaservers]
   server.idm.example.com
   replica1.idm.example.com
   
   [ipareplicas]
   replica2.idm.example.com
   replica3.idm.example.com ipareplica_servers=replica1.idm.example.com

   Dans l'exemple ci-dessus, replica3.idm.example.com utilise le site replica1.idm.example.com déjà déployé comme source de réplication.

   Scénario 3

   Si vous déployez plusieurs répliques en un seul lot et que le temps vous est compté, le déploiement de répliques à plusieurs niveaux peut vous être utile. Définissez des groupes spécifiques de répliques dans le fichier d'inventaire, par exemple [ipareplicas_tier1] et [ipareplicas_tier2], et concevez des séquences distinctes pour chaque groupe dans le livre de séquences install-replica.yml.

   Exemple de fichier d'inventaire avec des niveaux de répliques définis

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas_tier1]
   replica1.idm.example.com
   
   [ipareplicas_tier2]
   replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com

   La première entrée de ipareplica_servers sera utilisée. La deuxième entrée sera utilisée comme option de repli. Lorsque vous utilisez plusieurs niveaux pour déployer les répliques IdM, vous devez avoir des tâches séparées dans le playbook pour déployer d'abord les répliques du niveau 1 et ensuite les répliques du niveau 2 :

   Exemple d'un fichier playbook avec des jeux différents pour des groupes de répliques différents

   ---
   - name: Playbook to configure IPA replicas (tier1)
     hosts: ipareplicas_tier1
     become: true
   
     roles:
     - role: ipareplica
       state: present
   
   - name: Playbook to configure IPA replicas (tier2)
     hosts: ipareplicas_tier2
     become: true
   
     roles:
     - role: ipareplica
       state: present

3. [Facultatif] Fournir des informations supplémentaires concernant firewalld et DNS :

   Scénario 1

   Si vous souhaitez que le réplica utilise une zone firewalld spécifique au lieu de la zone par défaut, vous pouvez la spécifier dans le fichier d'inventaire. Cela peut être utile, par exemple, lorsque vous souhaitez utiliser une zone firewalld interne pour votre installation IdM au lieu d'une zone publique définie par défaut.

   Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple d'un fichier hosts d'inventaire simple avec une zone firewalld personnalisée

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_firewalld_zone=custom zone

   Scénario 2

   Si vous souhaitez que le réplica héberge le service DNS IdM, ajoutez la ligne ipareplica_setup_dns=yes à la section [ipareplicas:vars]. En outre, indiquez si vous souhaitez utiliser des redirections DNS par serveur :

   • Pour configurer les transferts par serveur, ajoutez la variable ipareplica_forwarders et une liste de chaînes à la section [ipareplicas:vars], par exemple : ipareplica_forwarders=192.0.2.1,192.0.2.2
   • Pour ne pas configurer de forwarders par serveur, ajoutez la ligne suivante à la section [ipareplicas:vars]: ipareplica_no_forwarders=yes.
   • Pour configurer les transitaires par serveur en fonction des transitaires répertoriés dans le fichier /etc/resolv.conf du réplica, ajoutez la variable ipareplica_auto_forwarders à la section [ipareplicas:vars].

   Exemple de fichier d'inventaire avec des instructions pour configurer le DNS et les forwarders par serveur sur les répliques

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_setup_dns=yes
   ipareplica_forwarders=192.0.2.1,192.0.2.2

   Scénario 3

   Spécifiez le résolveur DNS à l'aide des options ipaclient_configure_dns_resolve et ipaclient_dns_servers (le cas échéant) pour simplifier les déploiements de clusters. Ceci est particulièrement utile si votre déploiement IdM utilise un DNS intégré :

   Un extrait de fichier d'inventaire spécifiant un résolveur DNS :

   [...]
   [ipaclient:vars]
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Note

   La liste ipaclient_dns_servers ne doit contenir que des adresses IP. Les noms d'hôtes ne sont pas autorisés.

Procédure

1. Spécifiez le password of a user authorized to deploy replicas, par exemple l'IdM admin.

   • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier playbook, par exemple install-replica.yml:

     Exemple de fichier playbook utilisant le principal d'un fichier d'inventaire et le mot de passe d'un fichier Ansible Vault

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
       vars_files:
       - playbook_sensitive_data.yml
     
       roles:
       - role: ipareplica
         state: present

     Pour plus de détails sur l'utilisation d'Ansible Vault, voir la documentation officielle d'Ansible Vault.

   • De manière moins sûre, fournissez les informations d'identification de admin directement dans le fichier d'inventaire. Utilisez l'option ipaadmin_password dans la section [ipareplicas:vars] du fichier d'inventaire. Le fichier d'inventaire et le fichier playbook install-replica.yml peuvent alors se présenter comme suit :

     Exemple de fichier hosts.replica de l'inventaire

     [...]
     [ipareplicas:vars]
     ipaadmin_password=Secret123

     Exemple de playbook utilisant le principal et le mot de passe du fichier d'inventaire

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

   • Une autre solution, moins sûre, consiste à fournir les informations d'identification d'un autre utilisateur autorisé à déployer une réplique directement dans le fichier d'inventaire. Pour spécifier un autre utilisateur autorisé, utilisez l'option ipaadmin_principal pour le nom d'utilisateur et l'option ipaadmin_password pour le mot de passe. Le fichier d'inventaire et le fichier playbook install-replica.yml peuvent alors se présenter comme suit :

     Exemple de fichier hosts.replica de l'inventaire

     [...]
     [ipareplicas:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=my_admin_secret123

     Exemple de playbook utilisant le principal et le mot de passe du fichier d'inventaire

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

Procédure

1. Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.

   Si les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises.

   Exemple d'un fichier d'inventaire simple avec seulement le FQDN du client défini

   [ipaclients]
   client.idm.example.com
   [...]

2. Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :

   • Le site password of a user authorized to enroll clients est l'option par défaut.

     • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de faire référence au fichier Vault à partir du fichier playbook, par exemple install-client.yml, directement :

       Exemple de fichier playbook utilisant le principal d'un fichier d'inventaire et le mot de passe d'un fichier Ansible Vault

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

     • De manière moins sûre, fournissez les informations d'identification de admin en utilisant l'option ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts. Pour spécifier un autre utilisateur autorisé, utilisez l'option ipaadmin_principal pour le nom d'utilisateur et l'option ipaadmin_password pour le mot de passe. Le fichier d'inventaire inventory/hosts et le fichier playbook install-client.yml peuvent alors se présenter comme suit :

       Exemple de fichier d'inventaire des hôtes

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Exemple de Playbook utilisant le principal et le mot de passe du fichier d'inventaire

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

   • Le site client keytab de l'inscription précédente, s'il est encore disponible.

     Cette option est disponible si le système a été précédemment enregistré en tant que client de gestion d'identité. Pour utiliser cette méthode d'authentification, décommentez l'option #ipaclient_keytab, en spécifiant le chemin d'accès au fichier stockant le keytab, par exemple dans la section [ipaclient:vars] de inventory/hosts.

   • Un random, one-time password (OTP) à générer lors de l'inscription. Pour utiliser cette méthode d'authentification, utilisez l'option ipaclient_use_otp=yes dans votre fichier d'inventaire. Par exemple, vous pouvez décommenter l'option ipaclient_use_otp=yes dans la section [ipaclients:vars] du fichier inventory/hosts. Notez qu'avec l'option OTP, vous devez également spécifier l'une des options suivantes :

     • L'adresse password of a user authorized to enroll clients, par exemple en fournissant une valeur pour ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts.
     • Le site admin keytab, par exemple en fournissant une valeur pour ipaadmin_keytab dans la section [ipaclients:vars] de inventory/hosts.

3. [Facultatif] Spécifiez le résolveur DNS à l'aide des options ipaclient_configure_dns_resolve et ipaclient_dns_servers (le cas échéant) pour simplifier les déploiements de clusters. Ceci est particulièrement utile si votre déploiement IdM utilise le DNS intégré :

   Un extrait de fichier d'inventaire spécifiant un résolveur DNS :

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Note

   La liste ipaclient_dns_servers ne doit contenir que des adresses IP. Les noms d'hôtes ne sont pas autorisés.

Procédure

1. Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.

2. Spécifiez d'autres options dans les sections correspondantes du fichier inventory/hosts:

   • le FQDN des serveurs dans la section [ipaservers] pour indiquer le serveur IdM auprès duquel le client sera enrôlé

   • l'une des deux options suivantes :

     • l'option ipaclient_domain dans la section [ipaclients:vars] pour indiquer le nom de domaine DNS du serveur IdM auprès duquel le client sera enrôlé

     • l'option ipaclient_realm dans la section [ipaclients:vars] pour indiquer le nom du domaine Kerberos contrôlé par le serveur IdM

       Exemple de fichier d'inventaire des hôtes avec le FQDN du client, le FQDN du serveur et le domaine défini

       [ipaclients]
       client.idm.example.com
       
       [ipaservers]
       server.idm.example.com
       
       [ipaclients:vars]
       ipaclient_domain=idm.example.com
       [...]

3. Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :

   • Le site password of a user authorized to enroll clients est l'option par défaut.

     • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier de script, par exemple install-client.yml, directement : .exemple de fichier de script utilisant le principal du fichier d'inventaire et le mot de passe d'un fichier Ansible Vault