Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.5. 创建副本:简介

ipa-replica-install 工具用于从现有 IdM 服务器安装新副本。逐一安装身份管理副本。不支持同时安装多个副本。
注意
本章论述了 Red Hat Enterprise Linux 7.3 中引入的简化副本安装。这些步骤需要域级别 1(请参阅 第 7 章 显示和提升域级别)。
有关在域级别 0 中安装副本的文档,请参考 ???
您可以安装新副本:
在这两种情况下,您可以通过向 ipa-replica-install 添加选项来自定义副本:请参阅 “使用 ipa-replica-install 为您的用例配置副本”一节
要将副本作为隐藏安装,请将 --hidden-replica 参数传给 ipa-replica-install。有关隐藏副本的详情,请查看 第 4.2.3 节 “Hidden Replica Mode”
重要
如果您要复制的 IdM 服务器与 Active Directory 有信任,在运行 ipa-replica-install 后将副本设置为信任代理。请参阅 Windows 集成指南中的 信任控制器和信任代理

将现有客户端提升到副本

要在现有客户端上安装副本,您必须确保授权提升客户端。要实现这一点,请选择以下之一:
提供特权用户的凭证
默认特权用户为 admin。可以通过多种方式提供用户的凭据。您可以:
  • 让 IdM 提示您以交互方式获取凭证
    注意
    这是提供特权用户的凭据的默认方式。如果在 ipa-replica-install 运行时没有可用的凭证,则安装会自动提示您。
  • 在客户端上运行 ipa-replica-install 之前,以用户身份登录: 
    $ kinit admin
    Copy to Clipboard Toggle word wrap
  • 将用户的主体名称和密码直接添加到 ipa-replica-install 中: 
    # ipa-replica-install --principal admin --admin-password admin_password
    Copy to Clipboard Toggle word wrap
将客户端添加到 ipaservers 主机组中
ipaservers 中的成员资格授予机器提升的权限,类似于特权用户的凭证。您无需提供用户的凭据。
示例:第 4.5.1 节 “使用主机密钥选项卡将客户端提升至副本.”

在不是客户端的机器上安装副本

当在还没有在 IdM 域中注册的机器上运行时,ipa-replica-install 首先将机器注册为客户端,然后安装副本组件。
要在这种情况下安装副本,请选择以下之一:
提供特权用户的凭证
默认特权用户为 admin。要提供凭证,请将主体名称和密码直接添加到 ipa-replica-install 中: 
# ipa-replica-install --principal admin --admin-password admin_password
Copy to Clipboard Toggle word wrap
为客户端提供随机密码
在安装副本之前,您必须在服务器上生成随机密码。在安装过程中,您不需要提供用户的凭据。
示例:第 4.5.2 节 “使用 Random 密码安装副本”
默认情况下,副本针对客户端安装程序发现的第一个 IdM 服务器安装。要根据特定服务器安装副本,请在 ipa-replica-install 中添加以下选项:
  • --server 作为服务器的完全限定域名(FQDN)
  • IdM DNS 域的 --domain

使用 ipa-replica-install 为您的用例配置副本

当不带任何选项运行时,ipa-replica-install 只设置基本的服务器服务。要安装其他服务,如 DNS 或证书颁发机构(CA),请在 ipa-replica-install 中添加选项。
警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”
例如,使用最显著选项安装副本的场景,请参阅:
您还可以使用 --dirsrv-config-file 参数更改默认目录服务器设置,方法是使用带有自定义值的 LDIF 文件的路径。如需更多信息,请参阅 IdM 现在支持在服务器或副本安装过程中 为 Red Hat Enterprise Linux 7.3 设置独立目录服务器选项
有关配置副本的选项的完整列表,请查看 ipa-replica-install(1) man page。
在此过程中,现有的 IdM 客户端使用自己的主机 keytab 来授权提升,从而将现有的 IdM 客户端提升到副本。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
  1. 在现有服务器中:
    1. 以管理员身份登录。 
      $ kinit admin
      Copy to Clipboard Toggle word wrap
    2. 将客户端机器添加到 ipaservers 主机组中。 
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.example.com, client.example.com
-------------------------
Number of members added 1
-------------------------
      Copy to Clipboard Toggle word wrap
      ipaservers 中的成员资格授予机器提升的权限,类似于管理员的凭证。
  2. 在客户端上运行 ipa-replica-install 工具。 
    # ipa-replica-install
    Copy to Clipboard Toggle word wrap
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.2. 使用 Random 密码安装副本
复制链接

在此过程中,副本会从头开始安装在尚未是 IdM 客户端的机器上。为授权注册,仅使用针对一个客户端注册的、特定于客户端的随机密码。
此过程不要求您提供管理员或目录管理器(DM)凭证。因此,它更为安全,因为不会在命令行中公开任何敏感信息。
  1. 在现有服务器中:
    1. 以管理员身份登录。 
      $ kinit admin
      Copy to Clipboard Toggle word wrap
    2. 将新机器作为 IdM 主机添加。在 ipa host-add 命令中使用 --random 选项来生成用于副本安装的随机一次性密码。 
      $ ipa host-add client.example.com --random
--------------------------------------------------
Added host "client.example.com"
--------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
      Copy to Clipboard Toggle word wrap
      当使用生成的密码将机器注册到 IdM 域后,生成的密码将变为无效。注册完成后,它将被一个正确的主机 keytab 替换。
    3. 将机器添加到 ipaservers 主机组中。 
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.example.com, client.example.com
-------------------------
Number of members added 1
-------------------------
      Copy to Clipboard Toggle word wrap
      ipaservers 中的成员资格授予设置所需服务器服务所需的机器提升特权。
  2. 在您要安装副本的机器上,运行 ipa-replica-install,并使用 --password 选项提供随机密码。将密码括在单引号(')中,因为它通常包含特殊字符: 
    # ipa-replica-install --password 'W5YpARl=7M.n'
    Copy to Clipboard Toggle word wrap
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.3. 使用 DNS 安装副本
复制链接

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
  1. 使用以下选项运行 ipa-replica-install
    • --setup-dns 以创建 DNS 区域(如果不存在),并将副本配置为 DNS 服务器
    • 如果您不想使用任何 forwarders,指定 --forwarder 指定 forwarder 或 --no- forwarder
      出于故障转移的原因,需要指定多个正向解析器,请多次使用 --forwarder
    例如: 
    # ipa-replica-install --setup-dns --forwarder 192.0.2.1
    Copy to Clipboard Toggle word wrap
    注意
    ipa-replica-install 工具接受与 DNS 设置相关的许多其他选项,如 --no-reverse--no-host-dns。有关它们的详情请参考 ipa-replica-install(1) man page。
  2. 如果初始服务器是在启用了 DNS 的情况下创建的,则会使用正确的 DNS 条目自动创建副本。这些条目可确保 IdM 客户端能够发现新服务器。
    如果初始服务器未启用 DNS,请手动添加 DNS 记录。域服务需要以下 DNS 记录:
    • _ldap._tcp
    • _kerberos._tcp
    • _kerberos._udp
    • _kerberos-master._tcp
    • _kerberos-master._udp
    • _ntp._udp
    • _kpasswd._tcp
    • _kpasswd._udp
    这个示例演示了如何验证条目是否存在:
    1. 为 DOMAIN 和 NAMESERVER 变量设置适当的值: 
      # DOMAIN=example.com
# NAMESERVER=replica
      Copy to Clipboard Toggle word wrap
    2. 使用以下命令检查 DNS 条目: 
      # for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
done | egrep "^_"

_ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
_ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
_kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
...
      Copy to Clipboard Toggle word wrap
  3. 将父域中的 DNS 委托程序添加到 IdM DNS 域。例如,如果 IdM DNS 域是 ipa.example.com,请在 example.com 父域中添加一个名称服务器(NS)记录。
    重要
    每次安装 IdM DNS 服务器时,必须重复此步骤。
  4. 可选,但推荐.在副本不可用时,手动将其他 DNS 服务器添加为备份服务器。请参阅 第 33.11.1 节 “设置其他名称服务器”。当新副本是您 IdM 域中的第一个 DNS 服务器时,尤其建议这样做。
  5. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.4. 使用 CA 安装副本
复制链接

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
  1. 使用 --setup-ca 选项运行 ipa-replica-install
    [root@replica ~]# ipa-replica-install --setup-ca
    Copy to Clipboard Toggle word wrap
  2. setup-ca 选项从初始服务器配置中复制 CA 配置,无论服务器上的 IdM CA 是根 CA 还是从属到外部 CA。
    注意
    有关支持的 CA 配置的详情,请参考 第 2.3.2 节 “确定要使用的 CA 配置”
  3. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理

4.5.5. 从没有 CA 的服务器安装 Replica
复制链接

此流程适用于在客户端以及尚不属于 IdM 域的机器上安装副本。详情请查看 第 4.5 节 “创建副本:简介”
重要
您不能使用自签名第三方服务器证书安装服务器或副本。
  1. 运行 ipa-replica-install,并通过添加以下选项来提供所需的证书文件:
    • --dirsrv-cert-file
    • --dirsrv-pin
    • --http-cert-file
    • --http-pin
    有关使用这些选项提供的文件的详情,请参考 第 2.3.6 节 “在没有 CA 的情况下安装”
    例如: 
    [root@replica ~]# ipa-replica-install \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret
    Copy to Clipboard Toggle word wrap
    注意
    不要添加 --ca-cert-file 选项。ipa-replica-install 工具从主服务器自动获取此部分证书信息。
  2. 另外,如果您正在复制的 IdM 服务器有 Active Directory 信任,请将副本设置为信任代理或信任控制器。详情请参阅 Windows 集成指南中的 信任控制器和信任代理
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat