Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7.2. 통합 DNS 없이 IdM 서버 및 루트 CA로 외부 CA를 대화형 설치

ipa-server-install 유틸리티를 사용한 대화형 설치 중에 시스템의 기본 구성(예: 영역, 관리자의 암호, Directory Manager의 암호)을 제공해야 합니다.

ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그를 통해 문제를 식별하는 데 도움이 될 수 있습니다.

서버를 설치하려면 다음 절차를 따르십시오.

  • 통합 DNS 없음
  • 루트 CA로 외부 CA(인증 기관) 사용

사전 요구 사항

  • --external-ca-type 옵션으로 지정할 외부 CA의 유형을 결정했습니다. 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.

  • Microsoft 인증서 서비스 인증 기관(MS CS CA)을 외부 CA로 사용하는 경우: --external-ca-profile 옵션으로 지정할 인증서 프로필 또는 템플릿을 결정했습니다. 기본적으로 SubCA 템플릿이 사용됩니다.

    --external-ca-type--external-ca-profile 옵션에 대한 자세한 내용은 외부 CA를 루트 CA로 사용하여 IdM CA를 설치할 때 사용되는 옵션을 참조하십시오.

절차

  1. --external-ca 옵션을 사용하여 ipa-server-install 유틸리티를 실행합니다.

    • Microsoft 인증서 서비스(MS CS) CA를 사용하는 경우 --external-ca-type 옵션 및 선택적으로 --external-ca-profile 옵션을 사용합니다. 

      [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
      Copy to Clipboard

    • IdM CA의 서명 인증서를 생성하는 데 MS CS를 사용하지 않는 경우 다른 옵션이 필요하지 않을 수 있습니다. 

      # ipa-server-install --external-ca
      Copy to Clipboard

  2. 스크립트에서 통합 DNS 서비스를 구성하라는 메시지가 표시됩니다. Enter 를 눌러 기본 no 옵션을 선택합니다. 

    Do you want to configure integrated DNS (BIND)? [no]:
    Copy to Clipboard

  3. 이 스크립트는 몇 가지 필수 설정을 입력하라는 메시지를 표시하고 대괄호에 권장되는 기본값을 제공합니다.

    • 기본값을 허용하려면 Enter 를 누릅니다.

    • 사용자 지정 값을 제공하려면 필요한 값을 입력합니다. 

      Server host name [server.idm.example.com]:
Please confirm the domain name [idm.example.com]:
Please provide a realm name [IDM.EXAMPLE.COM]:
      Copy to Clipboard
      주의

      이러한 이름을 신중하게 계획하십시오. 설치가 완료된 후에는 변경할 수 없습니다.

  4. Directory Server superuser(cn=Directory Manager)의 암호와 IdM 관리 시스템 사용자 계정(관리자)을 입력합니다. 

    Directory Manager password:
IPA admin password:
    Copy to Clipboard

  5. yes 를 입력하여 서버 구성을 확인합니다. 

    Continue to configure the system with these values? [no]: yes
    Copy to Clipboard

  6. 인증서 시스템 인스턴스를 구성하는 동안 유틸리티는 인증서 서명 요청(CSR): /root/ipa.csr: 

    ...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
    Copy to Clipboard

    이 경우:

    1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.

    2. 기본 64로 인코딩된 Blob(Windows CA의 PEM 파일 또는 Base_64 인증서)에서 발급한 인증서와 CA의 CA 인증서 체인을 검색합니다. 다시 말하지만, 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.

      중요

      CA 인증서뿐만 아니라 CA의 전체 인증서 체인을 가져옵니다.

    3. ipa-server-install을 다시 실행합니다. 이번에는 새로 발급한 CA 인증서와 CA 체인 파일의 위치 및 이름을 지정합니다. 예를 들어 다음과 같습니다. 

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
      Copy to Clipboard
  7. 이제 설치 스크립트가 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.

  8. 설치 스크립트는 DNS 리소스 레코드가 있는 파일을 생성합니다. /tmp/ipa.system.records.UFRPto.db 파일은 아래 예제 출력에 있습니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다. 

    ...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
    Copy to Clipboard
    중요

    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat