6.3. Installation non interactive
Cette procédure permet d'installer un serveur :
- Sans DNS intégré
- avec une autorité de certification (AC) externe en tant qu'AC racine
Le script d'installation ipa-server-install
crée un fichier journal à l'adresse /var/log/ipaserver-install.log
. Si l'installation échoue, le journal peut vous aider à identifier le problème.
Conditions préalables
-
Vous avez déterminé le type d'autorité de certification externe à spécifier avec l'option
--external-ca-type
. Voir la page de manuelipa-server-install
(1) pour plus de détails. Si vous utilisez une autorité de certification Microsoft Certificate Services (MS CS CA) comme autorité de certification externe : vous avez déterminé le profil ou le modèle de certificat à spécifier avec l'option
--external-ca-profile
. Par défaut, le modèleSubCA
est utilisé.Pour plus d'informations sur les options
--external-ca-type
et--external-ca-profile
, voir Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.
Procédure
Lancer l'utilitaire
ipa-server-install
avec les options nécessaires pour fournir toutes les informations requises. Les options minimales requises pour l'installation non interactive d'un serveur IdM avec une autorité de certification externe en tant qu'autorité de certification racine sont les suivantes :-
--external-ca
pour spécifier qu'une autorité de certification externe est l'autorité de certification racine -
--realm
pour fournir le nom du domaine Kerberos -
--ds-password
pour fournir le mot de passe du gestionnaire de répertoire (DM), le super utilisateur du serveur de répertoire -
--admin-password
de fournir le mot de passe pouradmin
, l'administrateur IdM --unattended
pour laisser le processus d'installation sélectionner les options par défaut pour le nom d'hôte et le nom de domainePar exemple :
# ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
Si vous utilisez une autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option
--external-ca-type
et, éventuellement, l'option--external-ca-profile
. Pour plus d'informations, voir Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.-
Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) :
/root/ipa.csr
:... Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes [1/11]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as: /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-server-install command was successful
Lorsque cela se produit :
-
Soumettre le CSR situé dans
/root/ipa.csr
à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.
ImportantVeillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.
Exécutez à nouveau
ipa-server-install
, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
-
Soumettre le CSR situé dans
- Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.
Le script d'installation produit un fichier contenant des enregistrements de ressources DNS : le fichier
/tmp/ipa.system.records.UFRPto.db
dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.
Ressources supplémentaires
- Pour plus d'informations sur les enregistrements de ressources DNS que vous devez ajouter à votre système DNS, voir Enregistrements DNS IdM pour les systèmes DNS externes.