19.5. Autoriser l'installation d'une réplique sur un système qui n'est pas enrôlé dans IdM
Lors de l'installation d'un réplica sur un système qui n'est pas inscrit dans le domaine Identity Management (IdM), l'utilitaire ipa-replica-install
inscrit d'abord le système en tant que client, puis installe les composants du réplica. Pour ce scénario, choisissez Method 1 ou Method 2 ci-dessous pour autoriser l'installation du réplica. Choisissez Method 1 si l'une des situations suivantes s'applique :
- Vous souhaitez qu'un administrateur système senior effectue la partie initiale de la procédure et qu'un administrateur junior effectue le reste.
- Vous souhaitez automatiser l'installation de votre réplique.
- Méthode 1 : un mot de passe aléatoire généré sur un serveur IdM
Saisissez les commandes suivantes sur n'importe quel serveur du domaine :
Connectez-vous en tant qu'administrateur.
$ kinit admin
Ajoutez le système externe en tant qu'hôte IdM. Utilisez l'option
--random
avec la commandeipa host-add
pour générer un mot de passe aléatoire à usage unique qui sera utilisé pour l'installation ultérieure du réplica.$ ipa host-add replica.example.com --random -------------------------------------------------- Added host "replica.example.com" -------------------------------------------------- Host name: replica.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.example.com
Le mot de passe généré deviendra invalide lorsque vous l'utiliserez pour inscrire la machine dans le domaine IdM. Il sera remplacé par un keytab hôte approprié une fois l'enrôlement terminé.
Ajoutez le système au groupe d'hôtes
ipaservers
.$ ipa hostgroup-add-member ipaservers --hosts replica.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, replica.example.com ------------------------- Number of members added 1 -------------------------
NoteL'appartenance au groupe
ipaservers
confère à la machine des privilèges élevés similaires à ceux de l'administrateur. Par conséquent, à l'étape suivante, l'utilitaireipa-replica-install
peut être exécuté avec succès sur l'hôte par un administrateur système junior qui fournit le mot de passe aléatoire généré.- Méthode 2 : les informations d'identification d'un utilisateur privilégié
Avec cette méthode, vous autorisez l'installation du réplica en fournissant les informations d'identification d'un utilisateur privilégié. L'utilisateur privilégié par défaut est
admin
.Aucune action n'est requise avant l'exécution de l'utilitaire d'installation des répliques IdM. Ajoutez les options nom du principal et mot de passe (
--principal admin --admin-password password
) à la commandeipa-replica-install
directement pendant l'installation.
Ressources supplémentaires
- Pour lancer la procédure d'installation, voir Installation d'un réplica IdM.
- Vous pouvez utiliser une séquence Ansible pour installer les répliques IdM. Pour plus d'informations, voir Installation d'une réplique Identity Management à l'aide d'un playbook Ansible.