6.3. Installation non interactive

Procédure

1. Lancer l'utilitaire ipa-server-install avec les options nécessaires pour fournir toutes les informations requises. Les options minimales requises pour l'installation non interactive d'un serveur IdM avec une autorité de certification externe en tant qu'autorité de certification racine sont les suivantes :

   • --external-ca pour spécifier qu'une autorité de certification externe est l'autorité de certification racine
   • --realm pour fournir le nom du domaine Kerberos
   • --ds-password pour fournir le mot de passe du gestionnaire de répertoire (DM), le super utilisateur du serveur de répertoire
   • --admin-password de fournir le mot de passe pour admin, l'administrateur IdM

   • --unattended pour laisser le processus d'installation sélectionner les options par défaut pour le nom d'hôte et le nom de domaine

     Par exemple :

     # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

   Si vous utilisez une autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option --external-ca-type et, éventuellement, l'option --external-ca-profile. Pour plus d'informations, voir Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.

2. Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) : /root/ipa.csr:

   ...
   
   Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
     [1/11]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
   /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
   The ipa-server-install command was successful

   Lorsque cela se produit :

   1. Soumettre le CSR situé dans /root/ipa.csr à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe.

   2. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.

      Important

      Veillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.

   3. Exécutez à nouveau ipa-server-install, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

3. Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.

4. Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : le fichier /tmp/ipa.system.records.UFRPto.db dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...