SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 3. Installation d'un serveur IdM : Avec DNS intégré, avec une autorité de certification externe comme autorité de certification racine

L'installation d'un nouveau serveur de gestion des identités (IdM) avec DNS intégré présente les avantages suivants :

  • Vous pouvez automatiser une grande partie de la maintenance et de la gestion des enregistrements DNS à l'aide d'outils IdM natifs. Par exemple, les enregistrements DNS SRV sont automatiquement créés lors de l'installation et sont ensuite automatiquement mis à jour.
  • Vous pouvez avoir une connexion stable avec le reste de l'Internet en configurant des redirections globales lors de l'installation du serveur IdM. Les redirections globales sont également utiles pour les trusts avec Active Directory.
  • Vous pouvez configurer une zone DNS inverse pour éviter que les courriels de votre domaine soient considérés comme du spam par les serveurs de messagerie en dehors du domaine IdM.

L'installation d'IdM avec DNS intégré présente certaines limites :

  • IdM DNS n'est pas conçu pour être utilisé comme un serveur DNS polyvalent. Certaines fonctions DNS avancées ne sont pas prises en charge.

Ce chapitre décrit comment installer un nouveau serveur IdM avec une autorité de certification (AC) externe en tant qu'AC racine.

3.1. Installation interactive

Pendant l'installation interactive à l'aide de l'utilitaire ipa-server-install il vous est demandé de fournir la configuration de base du système, par exemple le domaine, le mot de passe de l'administrateur et le mot de passe du gestionnaire de répertoire.

Le script d'installation ipa-server-install crée un fichier journal à l'adresse /var/log/ipaserver-install.log. Si l'installation échoue, le journal peut vous aider à identifier le problème.

Cette procédure décrit comment installer un serveur :

  • avec DNS intégré
  • avec une autorité de certification (AC) externe en tant qu'AC racine

Conditions préalables

Procédure

  1. Exécutez l'utilitaire ipa-server-install avec l'option --external-ca. 

    # ipa-server-install --external-ca

    • Si vous utilisez l'autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option --external-ca-type et, éventuellement, l'option --external-ca-profile: 

      [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default

    • Si vous n'utilisez pas MS CS pour générer le certificat de signature de votre AC IdM, aucune autre option n'est nécessaire : 

      # ipa-server-install --external-ca

  2. Le script demande de configurer un service DNS intégré. Saisissez yes ou no. Dans cette procédure, nous installons un serveur avec DNS intégré. 

    Voulez-vous configurer le DNS intégré (BIND) ? [non] : yes
    Note

    Si vous souhaitez installer un serveur sans DNS intégré, le script d'installation ne vous demandera pas de configurer le DNS comme décrit dans les étapes ci-dessous. Voir Chapitre 5, Installation d'un serveur IdM : Sans DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine pour plus de détails sur les étapes de l'installation d'un serveur sans DNS.

  3. Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.

    • Pour accepter une valeur par défaut, appuyez sur Entrée.

    • Pour fournir une valeur personnalisée, saisissez la valeur requise. 

      Server host name [server.idm.example.com]:
Please confirm the domain name [idm.example.com]:
Please provide a realm name [IDM.EXAMPLE.COM]:
      Avertissement

      Planifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.

  4. Saisissez les mots de passe du superutilisateur du serveur d'annuaire (cn=Directory Manager) et du compte utilisateur du système d'administration Identity Management (IdM) (admin). 

    Directory Manager password:
IPA admin password:

  5. Le script demande d'indiquer les redirections DNS par serveur. 

    Do you want to configure DNS forwarders? [yes]:

    • Pour configurer les forwarders DNS par serveur, entrez yes, puis suivez les instructions de la ligne de commande. Le processus d'installation ajoutera les adresses IP des transitaires au LDAP de l'IdM.

      • Pour les paramètres par défaut de la politique de transfert, voir la description de --forward-policy dans la page de manuel ipa-dns-install(1).

    • Si vous ne souhaitez pas utiliser la redirection DNS, entrez no.

      En l'absence de redirecteurs DNS, les hôtes de votre domaine IdM ne pourront pas résoudre les noms provenant d'autres domaines DNS internes de votre infrastructure. Les hôtes n'auront plus que les serveurs DNS publics pour résoudre leurs requêtes DNS.

  6. Le script demande de vérifier si des enregistrements DNS inverses (PTR) pour les adresses IP associées au serveur doivent être configurés. 

    Do you want to search for missing reverse zones? [yes]:

    Si vous exécutez la recherche et que des zones inversées manquantes sont découvertes, le script vous demande s'il faut créer les zones inversées en même temps que les enregistrements PTR. 

    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
    Note

    L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

  7. Entrez yes pour confirmer la configuration du serveur. 

    Continuer à configurer le système avec ces valeurs ? [no] : yes

  8. Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) : /root/ipa.csr: 

    ...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

    Lorsque cela se produit :

    1. Soumettre le CSR situé dans /root/ipa.csr à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe.

    2. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.

      Important

      Veillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.

    3. Exécutez à nouveau ipa-server-install, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple : 

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  9. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

  10. Une fois le script d'installation terminé, mettez à jour vos enregistrements DNS de la manière suivante :

    1. Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

      Important

      Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

    2. Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.
Note

La commande ipa-server-install --external-ca peut parfois échouer avec l'erreur suivante : 

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

Ce problème survient lorsque les variables d'environnement *_proxy sont définies. Pour résoudre le problème, voir Dépannage: L'installation de l'autorité de certification externe échoue.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.