25.9. 外部 CA を root CA として備えた IdM サーバーの Ansible Playbook を使用したデプロイメント
以下の手順に従って、Ansible Playbook を使用して、外部認証局 (CA) を備えた IdM サーバーをデプロイします。
前提条件
- マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。
以下のいずれかの手順を選択して、シナリオに対応するパラメーターを設定している。
手順
インストールの最初のステップの指示を含む Ansible Playbook を実行します (例:
install-server-step1.yml)。$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml-
コントローラー上の
ipa.csr証明書署名要求ファイルを見つけ、これを外部 CA に送信します。 - 外部 CA が署名した IdM CA 証明書をコントローラーファイルシステムに配置して、次のステップの Playbook で見つけられるようにします。
インストールの最後のステップの指示を含む Ansible Playbook を実行します (例:
install-server-step2.yml)。$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml以下のいずれかのオプションを選択します。
IdM デプロイメントで外部 DNS を使用する場合:
/tmp/ipa.system.records.UFRPto.dbファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
重要既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。
親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが
idm.example.comの場合は、ネームサーバー (NS) レコードを親ドメインexample.comに追加します。重要IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
-
タイムサーバーの
_ntp._udpサービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。
