6.2. Installation interactive
Pendant l'installation interactive à l'aide de l'utilitaire ipa-server-install
il vous est demandé de fournir la configuration de base du système, par exemple le domaine, le mot de passe de l'administrateur et le mot de passe du gestionnaire de répertoire.
Le script d'installation ipa-server-install
crée un fichier journal à l'adresse /var/log/ipaserver-install.log
. Si l'installation échoue, le journal peut vous aider à identifier le problème.
Cette procédure décrit comment installer un serveur :
- Sans DNS intégré
- Avec une autorité de certification (AC) externe en tant qu'AC racine
Conditions préalables
-
Vous avez déterminé le type d'autorité de certification externe à spécifier avec l'option
--external-ca-type
. Voir la page de manuelipa-server-install
(1) pour plus de détails. Si vous utilisez une autorité de certification Microsoft Certificate Services (MS CS CA) comme autorité de certification externe : vous avez déterminé le profil ou le modèle de certificat à spécifier avec l'option
--external-ca-profile
. Par défaut, le modèleSubCA
est utilisé.Pour plus d'informations sur les options
--external-ca-type
et--external-ca-profile
, voir Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.
Procédure
Exécutez l'utilitaire ipa-server-install avec l'option
--external-ca
.Si vous utilisez l'autorité de certification Microsoft Certificate Services (MS CS), utilisez également l'option
--external-ca-type
et, éventuellement, l'option--external-ca-profile
:[root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
Si vous n'utilisez pas MS CS pour générer le certificat de signature de votre AC IdM, aucune autre option n'est nécessaire :
# ipa-server-install --external-ca
Le script invite à configurer un service DNS intégré. Appuyez sur Entrée pour sélectionner l'option par défaut
no
.Do you want to configure integrated DNS (BIND)? [no]:
Le script demande plusieurs paramètres obligatoires et propose des valeurs par défaut recommandées entre parenthèses.
- Pour accepter une valeur par défaut, appuyez sur Entrée.
Pour fournir une valeur personnalisée, saisissez la valeur requise.
Server host name [
server.idm.example.com
]: Please confirm the domain name [idm.example.com
]: Please provide a realm name [IDM.EXAMPLE.COM
]:AvertissementPlanifiez ces noms avec soin. Vous ne pourrez pas les modifier une fois l'installation terminée.
Saisissez les mots de passe du superutilisateur du serveur d'annuaire (
cn=Directory Manager
) et du compte utilisateur du système d'administration IdM (admin
).Directory Manager password: IPA admin password:
Entrez
yes
pour confirmer la configuration du serveur.Continuer à configurer le système avec ces valeurs ? [no] :
yes
Lors de la configuration de l'instance du système de certification, l'utilitaire imprime l'emplacement de la demande de signature du certificat (CSR) :
/root/ipa.csr
:... Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds [1/8]: creating certificate server user [2/8]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
Lorsque cela se produit :
-
Soumettre le CSR situé dans
/root/ipa.csr
à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64 (soit un fichier PEM, soit un certificat Base_64 d'une autorité de certification Windows). Là encore, la procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.
ImportantVeillez à obtenir la chaîne de certificats complète de l'autorité de certification, et pas seulement le certificat de l'autorité de certification.
Exécutez à nouveau
ipa-server-install
, en spécifiant cette fois les emplacements et les noms du certificat d'autorité de certification nouvellement émis et des fichiers de la chaîne d'autorité de certification. Par exemple :# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
-
Soumettre le CSR situé dans
- Le script d'installation configure maintenant le serveur. Attendez la fin de l'opération.
Le script d'installation produit un fichier contenant des enregistrements de ressources DNS :
the /tmp/ipa.system.records.UFRPto.db
dans l'exemple ci-dessous. Ajoutez ces enregistrements aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
ImportantL'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.
Ressources supplémentaires
- Pour plus d'informations sur les enregistrements de ressources DNS que vous devez ajouter à votre système DNS, voir Enregistrements DNS IdM pour les systèmes DNS externes.
La commande
ipa-server-install --external-ca
peut parfois échouer avec l'erreur suivante :ipa : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1 Configuration of CA failed
Ce problème survient lorsque les variables d'environnement
*_proxy
sont définies. Pour résoudre le problème, voir Dépannage: L'installation de l'autorité de certification externe échoue.