8.2. Configuração do servidor mestre de renovação da IdM CA usando um livro de exercícios possível
Em uma implantação de Gerenciamento de Identidade (IdM) que usa uma autoridade de certificado embutida (CA), o servidor mestre de renovação CA mantém e renova os certificados do sistema IdM. Ele garante implantações de IdM ininterruptas.
Para mais detalhes sobre o papel do mestre de renovação da IdM CA, consulte Usando o mestre de renovação da IdM CA.
O procedimento a seguir descreve como você pode usar um livro de exercícios possível para configurar o servidor mestre de renovação da IdM CA.
Pré-requisitos
- Você sabe a senha do administrador da IdM.
- Você instalou o pacote ansible-freeipa no controlador Ansible.
Procedimento
Opcional: Identificar o atual mestre de renovação da IdM CA:
$ ipa config-show | grep 'CA renewal master' IPA CA renewal master: server.idm.example.com
Criar um arquivo de inventário, por exemplo
inventory.file
, e definiripaserver
no mesmo:[ipaserver] server.idm.example.com
Abrir o arquivo
/usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml
Um possível arquivo de playbook para edição:--- - name: Playbook to handle global DNS configuration hosts: ipaserver become: no gather_facts: no tasks: - name: set ca_renewal_master_server ipaconfig: ipaadmin_password: SomeADMINpassword ca_renewal_master_server: carenewal.idm.example.com
Adaptar o arquivo através de alterações:
-
A senha do administrador da IdM definida pela variável
ipaadmin_password
. -
O nome do servidor principal da CA definido pela variável
ca_renewal_master_server
.
-
A senha do administrador da IdM definida pela variável
- Salvar o arquivo.
Execute o livro de jogo Ansible playbook. Especifique o arquivo do playbook e o arquivo do inventário:
$ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml
Etapas de verificação
Você pode verificar se o mestre de renovação do CA foi alterado:
Acesse
ipaserver
como administrador da IdM:$ ssh admin@server.idm.example.com Password: [admin@server /]$
Solicitar a identidade do servidor principal do IdM CA:
$ ipa config-show | grep ‘CA renewal master’ IPA CA renewal master: carenewal.idm.example.com
A saída mostra que o servidor carenewal.idm.example.com é o novo mestre da renovação da CA.