1.2. Installation de la réplique RHEL 9
Listez les rôles de serveur présents dans votre environnement RHEL 8 :
[root@rhel8 ~]# ipa server-role-find --status enabled --server rhel8.example.com ---------------------- 3 server roles matched ---------------------- Server name: rhel8.example.com Role name: CA server Role status: enabled Server name: rhel8.example.com Role name: DNS server Role status: enabled [... output truncated ...]
(Facultatif) Si vous souhaitez utiliser pour
rhel9.example.com
les mêmes transitaires par serveur que ceux utilisés parrhel8.example.com
, affichez les transitaires par serveur pourrhel8.example.com
:[root@rhel8 ~]# ipa dnsserver-show rhel8.example.com ----------------------------- 1 DNS server matched ----------------------------- Server name: rhel8.example.com SOA mname: rhel8.example.com. Forwarders: 192.0.2.20 Forward policy: only -------------------------------------------------- Number of entries returned 1 --------------------------------------------------
Installez le logiciel du serveur IdM sur
rhel9.example.com
pour le configurer comme une réplique du serveur IdM RHEL 8, y compris tous les rôles de serveur présents surrhel8.example.com
. Pour installer les rôles de l'exemple ci-dessus, utilisez ces options avec la commandeipa-replica-install
:-
--setup-ca
pour configurer le composant du système de certification --setup-dns
et--forwarder
pour configurer un serveur DNS intégré et définir un forwarder par serveur pour prendre en charge les requêtes DNS qui sortent du domaine IdMNoteEn outre, si votre déploiement IdM est en relation de confiance avec Active Directory (AD), ajoutez l'option
--setup-adtrust
à la commandeipa-replica-install
pour configurer la capacité de confiance AD surrhel9.example.com
.--ntp-server
pour spécifier un serveur NTP ou--ntp-pool
pour spécifier un pool de serveurs NTPPour configurer un serveur IdM avec l'adresse IP 192.0.2.1 qui utilise un forwarder par serveur avec l'adresse IP 192.0.2.20 et qui se synchronise avec le serveur NTP
ntp.example.com
:[root@rhel9 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.com
Il n'est pas nécessaire de spécifier le serveur IdM RHEL 8 lui-même car si le DNS fonctionne correctement,
rhel9.example.com
le trouvera en utilisant l'autodécouverte du DNS.
-
-
(Facultatif) Ajoutez un enregistrement de service
_ntp._udp
(SRV) pour votre serveur de temps externeNTP
au DNS du serveur IdM nouvellement installé, rhel9.example.com. La présence de l'enregistrement SRV pour le serveur de temps dans le DNS IdM garantit que les futures installations de répliques et de clients RHEL 9 sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par rhel9.example.com. En effet,ipa-client-install
recherche l'entrée DNS_ntp._udp
à moins que les options--ntp-server
ou--ntp-pool
ne soient fournies dans l'interface de ligne de commande (CLI) de l'installation.
Vérification
Vérifiez que les services IdM sont en cours d'exécution sur
rhel9.example.com
:[root@rhel9 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successful
Vérifiez que les rôles de serveur pour
rhel9.example.com
sont les mêmes que pourrhel8.example.com
:[root@rhel9 ~]# kinit admin [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com ---------------------- 2 server roles matched ---------------------- Server name: rhel9.example.com Role name: CA server Role status: enabled Server name: rhel9.example.com Role name: DNS server Role status: enabled
(Facultatif) Affichez les détails de l'accord de réplication entre
rhel8.example.com
etrhel9.example.com
:[root@rhel9 ~]# ipa-csreplica-manage list --verbose rhel9.example.com Directory Manager password: rhel8.example.com last init status: None last init ended: 1970-01-01 00:00:00+00:00 last update status: Error (0) Replica acquired successfully: Incremental update succeeded last update ended: 2019-02-13 13:55:13+00:00
(Facultatif) Si votre déploiement IdM est en relation de confiance avec AD, vérifiez qu'il fonctionne :
- Vérifier la configuration de Kerberos
Tentative de résolution d'un utilisateur AD sur
rhel9.example.com
:[root@rhel9 ~]# id aduser@ad.domain
Vérifiez que
rhel9.example.com
est synchronisé avec le serveurNTP
:[root@rhel8 ~]# chronyc tracking Reference ID : CB00710F (ntp.example.com) Stratum : 3 Ref time (UTC) : Wed Feb 16 09:49:17 2022 [... output truncated ...]
Ressources supplémentaires