Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 4. Installation d'un serveur IdM : Avec DNS intégré, sans CA

download PDF

L'installation d'un nouveau serveur de gestion des identités (IdM) avec DNS intégré présente les avantages suivants :

  • Vous pouvez automatiser une grande partie de la maintenance et de la gestion des enregistrements DNS à l'aide d'outils IdM natifs. Par exemple, les enregistrements DNS SRV sont automatiquement créés lors de l'installation et sont ensuite automatiquement mis à jour.
  • Vous pouvez avoir une connexion stable avec le reste de l'Internet en configurant des redirections globales lors de l'installation du serveur IdM. Les redirections globales sont également utiles pour les trusts avec Active Directory.
  • Vous pouvez configurer une zone DNS inverse pour éviter que les courriels de votre domaine soient considérés comme du spam par les serveurs de messagerie en dehors du domaine IdM.

L'installation d'IdM avec DNS intégré présente certaines limites :

  • IdM DNS n'est pas conçu pour être utilisé comme un serveur DNS polyvalent. Certaines fonctions DNS avancées ne sont pas prises en charge.

Ce chapitre décrit comment installer un nouveau serveur IdM sans autorité de certification (AC).

4.1. Certificats requis pour l'installation d'un serveur IdM sans autorité de certification

Cette section répertorie les certificats requis pour installer un serveur de gestion d'identité (IdM) sans autorité de certification (CA) et les options de ligne de commande utilisées pour fournir ces certificats à l'utilitaire ipa-server-install.

Important

Vous ne pouvez pas installer un serveur ou un réplica à l'aide de certificats de serveur tiers auto-signés, car les fichiers de certificats importés doivent contenir la chaîne complète des certificats de l'autorité de certification qui a émis les certificats des serveurs LDAP et Apache.

Le certificat et la clé privée du serveur LDAP
  • --dirsrv-cert-file pour les fichiers de certificat et de clé privée pour le certificat du serveur LDAP
  • --dirsrv-pin pour le mot de passe permettant d'accéder à la clé privée dans les fichiers spécifiés dans la rubrique --dirsrv-cert-file
Le certificat et la clé privée du serveur Apache
  • --http-cert-file pour les fichiers de certificat et de clé privée pour le certificat du serveur Apache
  • --http-pin pour le mot de passe permettant d'accéder à la clé privée dans les fichiers spécifiés dans la rubrique --http-cert-file
La chaîne complète des certificats de l'autorité de certification qui a émis les certificats des serveurs LDAP et Apache
  • --dirsrv-cert-file et --http-cert-file pour les fichiers de certificats contenant la chaîne complète de certificats de l'autorité de certification ou une partie de celle-ci

Vous pouvez fournir les fichiers spécifiés dans les options --dirsrv-cert-file et --http-cert-file dans les formats suivants :

  • Certificat codé en PEM (Privacy-Enhanced Mail) (RFC 7468). Notez que le programme d'installation de la gestion de l'identité accepte les objets concaténés codés PEM.
  • Règles de codage distinguées (DER)
  • Objets de la chaîne de certificats PKCS #7
  • Objets de clé privée PKCS #8
  • Archives PKCS #12

Vous pouvez spécifier les options --dirsrv-cert-file et --http-cert-file plusieurs fois pour spécifier plusieurs fichiers.

Les fichiers de certificats pour compléter la chaîne complète de certificats de l'autorité de certification (non nécessaire dans certains environnements)
  • --ca-cert-file pour le ou les fichiers contenant le certificat de l'autorité de certification qui a émis les certificats LDAP, Apache Server et Kerberos KDC. Utilisez cette option si le certificat de l'autorité de certification n'est pas présent dans les fichiers de certificats fournis par les autres options.

Les fichiers fournis à l'aide de --dirsrv-cert-file et --http-cert-file, combinés au fichier fourni à l'aide de --ca-cert-file, doivent contenir la chaîne complète des certificats de l'autorité de certification qui a émis les certificats des serveurs LDAP et Apache.

Le certificat PKINIT et la clé privée du centre de distribution de clés Kerberos (KDC)

  • Si vous disposez d'un certificat PKINIT, utilisez les 2 options suivantes :

    • --pkinit-cert-file pour le certificat SSL et la clé privée du Kerberos KDC
    • --pkinit-pin pour le mot de passe permettant d'accéder à la clé privée du Kerberos KDC dans les fichiers spécifiés dans la section --pkinit-cert-file

  • Si vous ne disposez pas d'un certificat PKINIT et que vous souhaitez configurer le serveur IdM avec un KDC local doté d'un certificat auto-signé, utilisez l'option suivante :

    • --no-pkinit pour désactiver les étapes d'installation de pkinit

Ressources supplémentaires

  • Pour plus de détails sur les formats de fichiers de certificats acceptés par ces options, voir la page de manuel ipa-server-install(1).
  • Pour plus de détails sur les extensions PKINIT requises pour créer un certificat PKINIT RHEL IdM, voir Certificat KDC RHEL IdM PKINIT et extensions.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.