主页
产品
Red Hat Enterprise Linux
10
使用 Ansible 在 RHEL 中安装和管理身份管理
2.8. 为带有集成 DNS 和外部 CA 作为根 CA 的部署设置参数

2.8. 为带有集成 DNS 和外部 CA 作为根 CA 的部署设置参数

完成此流程，来为在使用 IdM 集成的 DNS 解决方案的环境中安装带有外部 CA 作为根 CA 的 IdM 服务器配置清单文件。

注意

此流程中的清单文件使用 INI 格式。或者，也可以使用 YAML 或 JSON 格式。

流程

创建一个 ~/MyPlaybooks/ 目录：
```
$ mkdir MyPlaybooks
```
创建一个 ~/MyPlaybooks/inventory 文件。
打开清单文件进行编辑。指定您要用作 IdM 服务器的主机的完全限定域名(FQDN)。确保 FQDN 满足以下条件：
- 只允许字母数字字符和连字符(-)。例如，不允许使用下划线，这可能导致 DNS 失败。
- 主机名必须都是小写。
指定 IdM 域和域信息。
通过添加以下选项来指定您要使用集成的 DNS：
```
ipaserver_setup_dns=true
```
指定 DNS 转发设置。选择以下选项之一：
- 如果您希望安装进程使用 /etc/resolv.conf 文件中的转发器，请使用 ipaserver_auto_forwarders=true 选项。如果 /etc/resolv.conf 文件中指定的名字服务器是 localhost 127.0.0.1 地址，或者如果您在虚拟私有网络中，并且您使用的 DNS 服务器通常无法从公共互联网访问，则不建议使用此选项。
- 使用 ipaserver_forwarders 选项手动指定您的转发器。安装过程将转发器 IP 地址添加到安装的 IdM 服务器上的 /etc/named.conf 文件中。
- 使用 ipaserver_no_forwarders=true 选项配置要使用的根 DNS 服务器。
  注意
  如果没有 DNS 转发器，您的环境是隔离的，且您基础架构中来自其他 DNS 域的名称不能被解决。
指定 DNS 反向记录和区设置。从以下选项中选择：
- 使用 ipaserver_allow_zone_overlap=true 选项允许创建（反向）区域，即使区域已可以解析。
- 使用 ipaserver_reverse_zones 选项来手动指定反向区。
- 如果您不希望安装过程创建反向 DNS 区域，请使用 ipaserver_no_reverse=true 选项。
  注意
  使用 IdM 管理反向区是可选的。您可以改为使用外部 DNS 服务来实现这一目的。
指定 admin 和 Directory Manager 的密码。使用 Ansible Vault 存储密码，并从 playbook 文件中引用 Vault 文件。或者，在清单文件中直接指定密码，这不太安全。
可选：指定一个要被 IdM 服务器使用的自定义 firewalld 区域。如果您没有设置自定义区，IdM 会将其服务添加到默认的 firewalld 区。预定义的默认区是 public。
重要
指定的 firewalld 区必须存在，并且是永久的。
一个具有所需服务器信息的清单文件示例（不包括密码）

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
[...]

+ 包含所需服务器信息（包括密码）的清单文件示例。

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

+ 带有自定义 firewalld 区的清单文件示例

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[...]

+ .为安装的第一个步骤创建一个 playbook。输入有关生成证书签名请求(CSR)，并将其从控制器复制到受管节点的说明。

---
- name: Playbook to configure IPA server Step 1
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_ca: true

  roles:
  - role: freeipa.ansible_freeipa.ipaserver
    state: present

  post_tasks:
  - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
    fetch:
      src: /root/ipa.csr
      dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
      flat: true

+ .为安装的最后步骤创建另一个 playbook。

---
- name: Playbook to configure IPA server Step 2
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_cert_files:
      - "/root/servercert20240601.pem"
      - "/root/cacert.pem"

  pre_tasks:
  - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
    ansible.builtin.copy:
      src: "{{ groups.ipaserver[0] }}-{{ item }}"
      dest: "/root/{{ item }}"
      force: true
    with_items:
    - servercert20240601.pem
    - cacert.pem

  roles:
  - role: freeipa.ansible_freeipa.ipaserver
    state: present

2.8. 为带有集成 DNS 和外部 CA 作为根 CA 的部署设置参数

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links