25.9. Déploiement d'un serveur IdM avec une autorité de certification externe en tant qu'autorité de certification racine à l'aide d'un playbook Ansible
Suivez cette procédure pour déployer un serveur IdM avec une autorité de certification (AC) externe en tant qu'AC racine à l'aide d'un livre de jeu Ansible.
Le fichier d'inventaire de cette procédure utilise le format INI. Vous pouvez également utiliser les formats YAML ou JSON.
Conditions préalables
Vous avez défini les paramètres correspondant à votre scénario en choisissant l'une des procédures suivantes :
Procédure
Exécutez la commande
ansible-playbookavec le nom du fichier playbook qui contient les instructions pour la première étape de l'installation, par exempleinstall-server-step1.yml. Spécifiez le fichier d'inventaire avec l'option-i:$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step1.ymlSpécifiez le niveau de verbosité en utilisant l'option
-v,-vvou-vvv.Vous pouvez visualiser la sortie du script Ansible playbook sur l'interface de ligne de commande (CLI). La sortie suivante montre que le script s'est exécuté avec succès puisque 0 tâche a échoué :
PLAY RECAP server.idm.example.com : ok=18 changed=10 unreachable=0 failed=0 skipped=21 rescued=0 ignored=0-
Localisez le fichier de demande de signature de certificat
ipa.csrsur le contrôleur et soumettez-le à l'autorité de certification externe. - Placez le certificat de l'autorité de certification IdM signé par l'autorité de certification externe dans le système de fichiers du contrôleur de manière à ce que le manuel de jeu de l'étape suivante puisse le trouver.
Exécutez la commande
ansible-playbookavec le nom du fichier playbook qui contient les instructions pour la dernière étape de l'installation, par exempleinstall-server-step2.yml. Spécifiez le fichier d'inventaire avec l'option-i:$ ansible-playbook -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step2.ymlChoisissez l'une des options suivantes :
Si votre déploiement IdM utilise un DNS externe : ajoutez les enregistrements de ressources DNS contenus dans le fichier
/tmp/ipa.system.records.UFRPto.dbaux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
ImportantL'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.
Si votre déploiement IdM utilise le DNS intégré :
Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est
idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parentexample.com.ImportantRépétez cette étape chaque fois qu'un serveur DNS IdM est installé.
-
Ajoutez un enregistrement de service
_ntp._udp(SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.
Ressources supplémentaires
Pour savoir comment déployer un serveur IdM avec une autorité de certification integrated en tant qu'autorité de certification racine, voir Déploiement d'un serveur IdM avec une autorité de certification intégrée en tant qu'autorité de certification racine à l'aide d'un livre de jeu Ansible
Ressources supplémentaires
- Notions d'inventaire : formats, hôtes et groupes
-
Vous pouvez consulter des exemples de playbooks Ansible pour l'installation d'un serveur IdM et une liste de variables possibles dans la documentation en amont de
ansible-freeipa.
