Capítulo 6. Instalação de um servidor IdM: Sem DNS integrado, com uma CA externa como a CA raiz
Este capítulo descreve como você pode instalar um novo servidor de Gerenciamento de Identidade (IdM), sem DNS integrado, que usa uma autoridade de certificado externa (CA) como a CA raiz.
6.1. Instalação interativa
Durante a instalação interativa utilizando o ipa-server-install é solicitado que você forneça a configuração básica do sistema, por exemplo, o domínio, a senha do administrador e a senha do Gerente de Diretório.
O script de instalação ipa-server-install cria um arquivo de log em /var/log/ipaserver-install.log. Se a instalação falhar, o log pode ajudá-lo a identificar o problema.
Este procedimento descreve como instalar um servidor:
- Sem DNS integrado
- Com uma autoridade de certificação externa (CA) como a CA raiz
Pré-requisitos
-
Decida sobre o tipo de CA externa que você utiliza (a opção
--external-ca-type). Veja aipa-server-install(1) página de homem para detalhes. Alternativamente, decidir sobre a opção
--external-ca-profileque permite especificar um modelo alternativo do Active Directory Certificate Services (AD CS). Por exemplo, para especificar um identificador de objeto específico da instalação do AD CS:[root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.4405632:1
Procedimento
Execute o utilitário ipa-server-install com a opção
--external-ca.# ipa-server-install --external-caSe você estiver usando o Microsoft Certificate Services CA, use também a opção
--external-ca-type. Para detalhes, consulte a página de manual ipa-server-install(1).O script solicita a configuração de um serviço DNS integrado. Pressione Enter para selecionar a opção padrão
no.Você deseja configurar o DNS integrado (BIND)? [não]:
O script solicita várias configurações necessárias e oferece os valores padrão recomendados entre parênteses.
- Para aceitar um valor padrão, pressione Enter.
Para fornecer um valor personalizado, digite o valor requerido.
Server host name [
server.example.com]: Please confirm the domain name [example.com]: Please provide a realm name [EXAMPLE.COM]:AtençãoPlaneje cuidadosamente estes nomes. Você não poderá alterá-los após a conclusão da instalação.
Digite as senhas para o superusuário Directory Server (
cn=Directory Manager) e para a conta de usuário do sistema de administração IdM (admin).Directory Manager password: IPA admin password:
Digite
yespara confirmar a configuração do servidor.Continuar a configurar o sistema com estes valores? [não]
yesDurante a configuração da instância do Sistema de Certificado, o utilitário imprime o local do pedido de assinatura do certificado (CSR):
/root/ipa.csr:... Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds [1/8]: creating certificate server user [2/8]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
Quando isto acontece:
-
Submeter a RSE localizada em
/root/ipa.csrà CA externa. O processo difere dependendo do serviço a ser usado como a CA externa. Recuperar o certificado emitido e a cadeia de certificados da CA para a CA emissora em um blob básico 64 codificado (um arquivo PEM ou um certificado Base_64 de uma CA Windows). Novamente, o processo difere para cada serviço de certificado. Normalmente, um link para download em uma página da web ou no e-mail de notificação permite ao administrador baixar todos os certificados exigidos.
ImportanteCertifique-se de obter a cadeia completa de certificados para a CA, não apenas o certificado da CA.
Execute
ipa-server-installnovamente, desta vez especificando os locais e nomes do certificado recém-emitido da CA e os arquivos da cadeia da CA. Por exemplo, o arquivo de corrente da CA:# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
-
Submeter a RSE localizada em
- O roteiro de instalação agora configura o servidor. Aguarde que a operação seja concluída.
O script de instalação produz um arquivo com registros de recursos DNS:
the /tmp/ipa.system.records.UFRPto.dbarquivo no exemplo de saída abaixo. Acrescente estes registros aos servidores DNS externos existentes. O processo de atualização dos registros DNS varia de acordo com a solução DNS específica.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
ImportanteA instalação do servidor não está completa até que você adicione os registros DNS aos servidores DNS existentes.
Recursos adicionais
O comando
ipa-server-install --external-caàs vezes pode falhar com o seguinte erro:ipa : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1 Configuration of CA failedEsta falha ocorre quando as variáveis ambientais do
*_proxysão definidas. Para uma solução do problema, ver Seção 3.2, “Solução de problemas: Falha na instalação externa da CA”.
