4.5. 创建副本:简介
ipa-replica-install
工具用于从现有 IdM 服务器安装新副本。逐一安装身份管理副本。不支持同时安装多个副本。
注意
本章论述了 Red Hat Enterprise Linux 7.3 中引入的简化副本安装。这些步骤需要域级别 1(请参阅 第 7 章 显示和提升域级别)。
有关在域级别 0 中安装副本的文档,请参考 ???。
您可以安装新副本:
- 在现有 IdM 客户端中通过将 客户端 提升到副本: 请参阅 “将现有客户端提升到副本”一节
- 在尚未加入 IdM 域的机器上查看: “在不是客户端的机器上安装副本”一节
在这两种情况下,您可以通过向
ipa-replica-install
添加选项来自定义副本:请参阅 “使用 ipa-replica-install 为您的用例配置副本”一节。
要将副本作为隐藏安装,请将
--hidden-replica
参数传给 ipa-replica-install
。有关隐藏副本的详情,请查看 第 4.2.3 节 “Hidden Replica Mode”。
重要
如果您要复制的 IdM 服务器与 Active Directory 有信任,在运行
ipa-replica-install
后将副本设置为信任代理。请参阅 Windows 集成指南中的 信任控制器和信任代理。
将现有客户端提升到副本
要在现有客户端上安装副本,您必须确保授权提升客户端。要实现这一点,请选择以下之一:
- 提供特权用户的凭证
- 默认特权用户为
admin
。可以通过多种方式提供用户的凭据。您可以:- 让 IdM 提示您以交互方式获取凭证注意这是提供特权用户的凭据的默认方式。如果在
ipa-replica-install
运行时没有可用的凭证,则安装会自动提示您。 - 在客户端上运行
ipa-replica-install
之前,以用户身份登录:$ kinit admin
- 将用户的主体名称和密码直接添加到
ipa-replica-install
中:# ipa-replica-install --principal admin --admin-password admin_password
- 将客户端添加到
ipaservers
主机组中 ipaservers
中的成员资格授予机器提升的权限,类似于特权用户的凭证。您无需提供用户的凭据。
在不是客户端的机器上安装副本
当在还没有在 IdM 域中注册的机器上运行时,
ipa-replica-install
首先将机器注册为客户端,然后安装副本组件。
要在这种情况下安装副本,请选择以下之一:
- 提供特权用户的凭证
- 默认特权用户为
admin
。要提供凭证,请将主体名称和密码直接添加到ipa-replica-install
中:# ipa-replica-install --principal admin --admin-password admin_password
- 为客户端提供随机密码
- 在安装副本之前,您必须在服务器上生成随机密码。在安装过程中,您不需要提供用户的凭据。
默认情况下,副本针对客户端安装程序发现的第一个 IdM 服务器安装。要根据特定服务器安装副本,请在
ipa-replica-install
中添加以下选项:
--server
作为服务器的完全限定域名(FQDN)- IdM DNS 域的
--domain
使用 ipa-replica-install 为您的用例配置副本
当不带任何选项运行时,
ipa-replica-install
只设置基本的服务器服务。要安装其他服务,如 DNS 或证书颁发机构(CA),请在 ipa-replica-install
中添加选项。
警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”。
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”。
例如,使用最显著选项安装副本的场景,请参阅:
- 第 4.5.4 节 “使用 CA 安装副本”,使用
--setup-ca
您还可以使用
--dirsrv-config-file
参数更改默认目录服务器设置,方法是使用带有自定义值的 LDIF 文件的路径。如需更多信息,请参阅 IdM 现在支持在服务器或副本安装过程中 为 Red Hat Enterprise Linux 7.3 设置独立目录服务器选项。
有关配置副本的选项的完整列表,请查看 ipa-replica-install(1) man page。
4.5.1. 使用主机密钥选项卡将客户端提升至副本.
在此过程中,现有的 IdM 客户端使用自己的主机 keytab 来授权提升,从而将现有的 IdM 客户端提升到副本。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
- 在现有服务器中:
- 以管理员身份登录。
$ kinit admin
- 将客户端机器添加到
ipaservers
主机组中。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaservers
中的成员资格授予机器提升的权限,类似于管理员的凭证。
- 在客户端上运行
ipa-replica-install
工具。# ipa-replica-install
- 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理。
4.5.2. 使用 Random 密码安装副本
在此过程中,副本会从头开始安装在尚未是 IdM 客户端的机器上。为授权注册,仅使用针对一个客户端注册的、特定于客户端的随机密码。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
- 在现有服务器中:
- 以管理员身份登录。
$ kinit admin
- 将新机器作为 IdM 主机添加。在 ipa host-add 命令中使用
--random
选项来生成用于副本安装的随机一次性密码。$ ipa host-add client.example.com --random -------------------------------------------------- Added host "client.example.com" -------------------------------------------------- Host name: client.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.example.com
当使用生成的密码将机器注册到 IdM 域后,生成的密码将变为无效。注册完成后,它将被一个正确的主机 keytab 替换。 - 将机器添加到
ipaservers
主机组中。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaservers
中的成员资格授予设置所需服务器服务所需的机器提升特权。
- 在您要安装副本的机器上,运行
ipa-replica-install
,并使用--password
选项提供随机密码。将密码括在单引号(')中,因为它通常包含特殊字符:# ipa-replica-install --password 'W5YpARl=7M.n'
- 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理。
4.5.3. 使用 DNS 安装副本
此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”。
- 使用以下选项运行
ipa-replica-install
:--setup-dns
以创建 DNS 区域(如果不存在),并将副本配置为 DNS 服务器- 如果您不想使用任何 forwarders,
指定
--forwarder 指定 forwarder 或 --no-
forwarder出于故障转移的原因,需要指定多个正向解析器,请多次使用--forwarder
。
例如:# ipa-replica-install --setup-dns --forwarder 192.0.2.1
注意ipa-replica-install
工具接受与 DNS 设置相关的许多其他选项,如--no-reverse
或--no-host-dns
。有关它们的详情请参考 ipa-replica-install(1) man page。 - 如果初始服务器是在启用了 DNS 的情况下创建的,则会使用正确的 DNS 条目自动创建副本。这些条目可确保 IdM 客户端能够发现新服务器。如果初始服务器未启用 DNS,请手动添加 DNS 记录。域服务需要以下 DNS 记录:
_ldap._tcp
_kerberos._tcp
_kerberos._udp
_kerberos-master._tcp
_kerberos-master._udp
_ntp._udp
_kpasswd._tcp
_kpasswd._udp
这个示例演示了如何验证条目是否存在:- 为 DOMAIN 和 NAMESERVER 变量设置适当的值:
# DOMAIN=example.com # NAMESERVER=replica
- 使用以下命令检查 DNS 条目:
# for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority done | egrep "^_" _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server1.example.com. _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server2.example.com. _kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server1.example.com. ...
- 将父域中的 DNS 委托程序添加到 IdM DNS 域。例如,如果 IdM DNS 域是
ipa.example.com
,请在example.com
父域中添加一个名称服务器(NS)记录。重要每次安装 IdM DNS 服务器时,必须重复此步骤。 - 可选,但推荐.在副本不可用时,手动将其他 DNS 服务器添加为备份服务器。请参阅 第 33.11.1 节 “设置其他名称服务器”。当新副本是您 IdM 域中的第一个 DNS 服务器时,尤其建议这样做。
- 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理。
4.5.4. 使用 CA 安装副本
此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”。
- 使用
--setup-ca
选项运行ipa-replica-install
。[root@replica ~]# ipa-replica-install --setup-ca
setup-ca
选项从初始服务器配置中复制 CA 配置,无论服务器上的 IdM CA 是根 CA 还是从属到外部 CA。注意有关支持的 CA 配置的详情,请参考 第 2.3.2 节 “确定要使用的 CA 配置”。- 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理。
4.5.5. 从没有 CA 的服务器安装 Replica
此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”。
重要
您不能使用自签名第三方服务器证书安装服务器或副本。
- 运行
ipa-replica-install
,并通过添加以下选项来提供所需的证书文件:--dirsrv-cert-file
--dirsrv-pin
--http-cert-file
--http-pin
有关使用这些选项提供的文件的详情,请参考 第 2.3.6 节 “在没有 CA 的情况下安装”。例如:[root@replica ~]# ipa-replica-install \ --dirsrv-cert-file /tmp/server.crt \ --dirsrv-cert-file /tmp/server.key \ --dirsrv-pin secret \ --http-cert-file /tmp/server.crt \ --http-cert-file /tmp/server.key \ --http-pin secret
注意不要添加--ca-cert-file
选项。ipa-replica-install
工具从主服务器自动获取此部分证书信息。 - 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理。