2.4. 为带有集成 DNS 和集成 CA 作为根 CA 的部署设置参数

流程

1. 创建一个 ~/MyPlaybooks/ 目录：

   $ mkdir MyPlaybooks

   Copy to Clipboard Toggle word wrap
2. 创建一个 ~/MyPlaybooks/inventory 文件。

3. 打开清单文件进行编辑。指定您要用作 IdM 服务器的主机的完全限定域名(FQDN)。确保 FQDN 满足以下条件：

   • 只允许字母数字字符和连字符(-)。例如，不允许使用下划线，这可能导致 DNS 失败。
   • 主机名必须都是小写。
4. 指定 IdM 域和域信息。

5. 通过添加以下选项来指定您要使用集成的 DNS：

   ipaserver_setup_dns=true

   Copy to Clipboard Toggle word wrap

6. 指定 DNS 转发设置。选择以下选项之一：

   • 如果您希望安装程序使用 /etc/resolv.conf 文件中的转发器，请使用 ipaserver_auto_forwarders=true 选项。如果在 /etc/resolv.conf 文件中指定的名称服务器是 localhost 127.0.0.1 地址，或者位于虚拟专用网络中，且您使用的 DNS 服务器通常无法从公共互联网访问，则不要使用这个选项。
   • 使用 ipaserver_forwarders 选项手动指定您的转发器。安装过程将转发器 IP 地址添加到安装的 IdM 服务器上的 /etc/named.conf 文件中。

   • 使用 ipaserver_no_forwarders=true 选项配置要使用的根 DNS 服务器。

     注意

     如果没有 DNS 转发器，您的环境是隔离的，且您基础架构中来自其他 DNS 域的名称不能被解决。

7. 指定 DNS 反向记录和区设置。从以下选项中选择：

   • 使用 ipaserver_allow_zone_overlap=true 选项允许创建（反向）区域，即使区域已可以解析。
   • 使用 ipaserver_reverse_zones 选项来手动指定反向区。

   • 如果您不希望安装程序创建反向 DNS 区域，请使用 ipaserver_no_reverse=true 选项。

     注意

     使用 IdM 管理反向区是可选的。您可以改为使用外部 DNS 服务来实现这一目的。

8. 指定 admin 和 Directory Manager 的密码。使用 Ansible Vault 存储密码，并从 playbook 文件中引用 Vault 文件。或者，在清单文件中直接指定密码，这不太安全。

9. 可选：指定一个要被 IdM 服务器使用的自定义 firewalld 区域。如果您没有设置自定义区，IdM 会将其服务添加到默认的 firewalld 区中。预定义的默认区是 public。

   重要

   指定的 firewalld 区必须存在，并且是永久的。

   一个具有所需服务器信息的清单文件示例（不包括密码）

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   [...]

   Copy to Clipboard Toggle word wrap

   一个具有所需服务器信息的清单文件示例（包括密码）

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Copy to Clipboard Toggle word wrap

   一个具有自定义 firewalld 区域的清单文件示例

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Copy to Clipboard Toggle word wrap

   使用存储在 Ansible Vault 文件中的 admin 和 Directory Manager 密码设置 IdM 服务器的 playbook 示例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   Copy to Clipboard Toggle word wrap

   使用清单文件中的 admin 和 Directory Manager 密码来设置 IdM 服务器的 playbook 示例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

   Copy to Clipboard Toggle word wrap