4.5. 创建副本:简介


ipa-replica-install 工具用于从现有 IdM 服务器安装新副本。逐一安装身份管理副本。不支持同时安装多个副本。
注意
本章论述了 Red Hat Enterprise Linux 7.3 中引入的简化副本安装。这些步骤需要域级别 1(请参阅 第 7 章 显示和提升域级别)。
有关在域级别 0 中安装副本的文档,请参考 ???
您可以安装新副本:
在这两种情况下,您可以通过向 ipa-replica-install 添加选项来自定义副本:请参阅 “使用 ipa-replica-install 为您的用例配置副本”一节
要将副本作为隐藏安装,请将 --hidden-replica 参数传给 ipa-replica-install。有关隐藏副本的详情,请查看 第 4.2.3 节 “Hidden Replica Mode”
重要
如果您要复制的 IdM 服务器与 Active Directory 有信任,在运行 ipa-replica-install 后将副本设置为信任代理。请参阅 Windows 集成指南中的 信任控制器和信任代理

将现有客户端提升到副本

要在现有客户端上安装副本,您必须确保授权提升客户端。要实现这一点,请选择以下之一:
提供特权用户的凭证
默认特权用户为 admin。可以通过多种方式提供用户的凭据。您可以:
  • 让 IdM 提示您以交互方式获取凭证
    注意
    这是提供特权用户的凭据的默认方式。如果在 ipa-replica-install 运行时没有可用的凭证,则安装会自动提示您。
  • 在客户端上运行 ipa-replica-install 之前,以用户身份登录:
    $ kinit admin
  • 将用户的主体名称和密码直接添加到 ipa-replica-install 中:
    # ipa-replica-install --principal admin --admin-password admin_password
将客户端添加到 ipaservers 主机组中
ipaservers 中的成员资格授予机器提升的权限,类似于特权用户的凭证。您无需提供用户的凭据。

在不是客户端的机器上安装副本

当在还没有在 IdM 域中注册的机器上运行时,ipa-replica-install 首先将机器注册为客户端,然后安装副本组件。
要在这种情况下安装副本,请选择以下之一:
提供特权用户的凭证
默认特权用户为 admin。要提供凭证,请将主体名称和密码直接添加到 ipa-replica-install 中:
# ipa-replica-install --principal admin --admin-password admin_password
为客户端提供随机密码
在安装副本之前,您必须在服务器上生成随机密码。在安装过程中,您不需要提供用户的凭据。
默认情况下,副本针对客户端安装程序发现的第一个 IdM 服务器安装。要根据特定服务器安装副本,请在 ipa-replica-install 中添加以下选项:
  • --server 作为服务器的完全限定域名(FQDN)
  • IdM DNS 域的 --domain

使用 ipa-replica-install 为您的用例配置副本

当不带任何选项运行时,ipa-replica-install 只设置基本的服务器服务。要安装其他服务,如 DNS 或证书颁发机构(CA),请在 ipa-replica-install 中添加选项。
警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”
例如,使用最显著选项安装副本的场景,请参阅:
您还可以使用 --dirsrv-config-file 参数更改默认目录服务器设置,方法是使用带有自定义值的 LDIF 文件的路径。如需更多信息,请参阅 IdM 现在支持在服务器或副本安装过程中 为 Red Hat Enterprise Linux 7.3 设置独立目录服务器选项
有关配置副本的选项的完整列表,请查看 ipa-replica-install(1) man page。

4.5.1. 使用主机密钥选项卡将客户端提升至副本.

在此过程中,现有的 IdM 客户端使用自己的主机 keytab 来授权提升,从而将现有的 IdM 客户端提升到副本。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
  1. 在现有服务器中:
    1. 以管理员身份登录。
      $ kinit admin
    2. 将客户端机器添加到 ipaservers 主机组中。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers 中的成员资格授予机器提升的权限,类似于管理员的凭证。
  2. 在客户端上运行 ipa-replica-install 工具。
    # ipa-replica-install
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.2. 使用 Random 密码安装副本

在此过程中,副本会从头开始安装在尚未是 IdM 客户端的机器上。为授权注册,仅使用针对一个客户端注册的、特定于客户端的随机密码。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
  1. 在现有服务器中:
    1. 以管理员身份登录。
      $ kinit admin
    2. 将新机器作为 IdM 主机添加。在 ipa host-add 命令中使用 --random 选项来生成用于副本安装的随机一次性密码。
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      当使用生成的密码将机器注册到 IdM 域后,生成的密码将变为无效。注册完成后,它将被一个正确的主机 keytab 替换。
    3. 将机器添加到 ipaservers 主机组中。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers 中的成员资格授予设置所需服务器服务所需的机器提升特权。
  2. 在您要安装副本的机器上,运行 ipa-replica-install,并使用 --password 选项提供随机密码。将密码括在单引号(')中,因为它通常包含特殊字符:
    # ipa-replica-install --password 'W5YpARl=7M.n'
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.3. 使用 DNS 安装副本

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
  1. 使用以下选项运行 ipa-replica-install
    • --setup-dns 以创建 DNS 区域(如果不存在),并将副本配置为 DNS 服务器
    • 如果您不想使用任何 forwarders,指定 --forwarder 指定 forwarder 或 --no- forwarder
      出于故障转移的原因,需要指定多个正向解析器,请多次使用 --forwarder
    例如:
    # ipa-replica-install --setup-dns --forwarder 192.0.2.1
    注意
    ipa-replica-install 工具接受与 DNS 设置相关的许多其他选项,如 --no-reverse--no-host-dns。有关它们的详情请参考 ipa-replica-install(1) man page。
  2. 如果初始服务器是在启用了 DNS 的情况下创建的,则会使用正确的 DNS 条目自动创建副本。这些条目可确保 IdM 客户端能够发现新服务器。
    如果初始服务器未启用 DNS,请手动添加 DNS 记录。域服务需要以下 DNS 记录:
    • _ldap._tcp
    • _kerberos._tcp
    • _kerberos._udp
    • _kerberos-master._tcp
    • _kerberos-master._udp
    • _ntp._udp
    • _kpasswd._tcp
    • _kpasswd._udp
    这个示例演示了如何验证条目是否存在:
    1. 为 DOMAIN 和 NAMESERVER 变量设置适当的值:
      # DOMAIN=example.com
      # NAMESERVER=replica
    2. 使用以下命令检查 DNS 条目:
      # for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
      dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
      done | egrep "^_"
      
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
      _kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
      ...
  3. 将父域中的 DNS 委托程序添加到 IdM DNS 域。例如,如果 IdM DNS 域是 ipa.example.com,请在 example.com 父域中添加一个名称服务器(NS)记录。
    重要
    每次安装 IdM DNS 服务器时,必须重复此步骤。
  4. 可选,但推荐.在副本不可用时,手动将其他 DNS 服务器添加为备份服务器。请参阅 第 33.11.1 节 “设置其他名称服务器”。当新副本是您 IdM 域中的第一个 DNS 服务器时,尤其建议这样做。
  5. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.4. 使用 CA 安装副本

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
  1. 使用 --setup-ca 选项运行 ipa-replica-install
    [root@replica ~]# ipa-replica-install --setup-ca
  2. setup-ca 选项从初始服务器配置中复制 CA 配置,无论服务器上的 IdM CA 是根 CA 还是从属到外部 CA。
    注意
    有关支持的 CA 配置的详情,请参考 第 2.3.2 节 “确定要使用的 CA 配置”
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.5. 从没有 CA 的服务器安装 Replica

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
重要
您不能使用自签名第三方服务器证书安装服务器或副本。
  1. 运行 ipa-replica-install,并通过添加以下选项来提供所需的证书文件:
    • --dirsrv-cert-file
    • --dirsrv-pin
    • --http-cert-file
    • --http-pin
    有关使用这些选项提供的文件的详情,请参考 第 2.3.6 节 “在没有 CA 的情况下安装”
    例如:
    [root@replica ~]# ipa-replica-install \
        --dirsrv-cert-file /tmp/server.crt \
        --dirsrv-cert-file /tmp/server.key \
        --dirsrv-pin secret \
        --http-cert-file /tmp/server.crt \
        --http-cert-file /tmp/server.key \
        --http-pin secret
    注意
    不要添加 --ca-cert-file 选项。ipa-replica-install 工具从主服务器自动获取此部分证书信息。
  2. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.