3.4. 在容器中安装身份管理副本:没有 CA
这个步骤描述了如何在没有集成身份管理证书颁发机构(CA)的情况下安装服务器。
容器化身份管理服务器和 Atomic 主机系统共享文件系统的部分,这些部分使用 绑定 挂载到容器中。因此,与外部文件相关的操作必须在这个卷中执行。
ipa-server 容器镜像使用 /var/lib/<container_name>/ 目录在 Atomic Host 文件系统中存储持久文件。持久性卷映射到容器内的 /data/ 目录。
开始前
请注意,容器安装使用
ipa-replica-install使用与非容器安装相同的默认配置。要指定自定义配置,请在以下步骤中使用的atomic install命令中添加额外的选项:- 用于 ipa-server 容器的 Atomic 选项。有关完整列表,请查看容器帮助页。
-
ipa-replica-install接受 身份管理安装程序选项,请参阅 Linux 域身份、身份验证和策略指南中的安装和卸载身份管理 副本。
- 您必须有安装的服务器可用:在裸机机器或其它 Atomic Host 系统上。
步骤
- 如果要在容器中为主服务器安装副本,请通过在 Linux 域 身份、身份验证和策略指南 中安装和卸载身份管理服务器 的端口,启用与 master 容器的双向通信。
在
/var/lib/<container_name>/中为容器手动创建持久性存储目录:$ mkdir -p /var/lib/ipa-server将包含证书链的文件复制到目录中:
$ cp /root/server-*.p12 /var/lib/ipa-server/.使用
atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-replica-install命令,包括--server和--domain选项,以指定身份管理服务器的主机名和域名,并从第三方授权提供所需的证书:$ atomic install --name replica-container rhel7/ipa-server publish \ --hostname replica.example.com \ ipa-replica-install \ --server server.example.com \ --domain example.com \ --dirsrv-cert-file=/data/replica-dirsrv-cert.p12 \ --dirsrv-pin=1234 \ --http-cert-file=/data/replica-http-cert.p12 \ --http-pin=1234 \ --pkinit-cert-file=/data/replica-pkinit-cert.p12 \ --pkinit-pin=1234
注意证书的路径包括
/data/,因为持久性存储卷映射到容器内的/data/。容器需要自己的主机名。为容器使用不同的主机名,而不是 Atomic Host 系统的主机名。容器的主机名必须通过 DNS 或 /etc/hosts 文件解析。
注意安装服务器或副本容器不将 Atomic 主机系统本身注册到身份管理域。如果您将 Atomic Host 系统的主机名用于服务器或副本,您将无法在以后注册 Atomic Host 系统。
重要在安装服务器或副本容器时,始终将
--hostname选项与atomic install搭配使用。因为--hostname被视为 Atomic 选项,而不是 Identity Management 安装程序选项,请在ipa-server-install选项前使用它。当ipa-server-install后使用时,安装会忽略--hostname。-
如果您使用集成 DNS 安装服务器,请添加
--ip-address选项以指定可从网络访问的 Atomic 主机的公共 IP 地址。您可以多次使用--ip-address。 由于 交互式副本安装模式 中存在一个已知问题,请添加标准
ipa-replica-install选项指定以下之一:- 特权用户凭证。请参阅 例 3.1 “安装命令示例”。
- 批量注册的随机密码。请参阅 Linux 域身份、身份验证和策略 指南中的使用 Random 密码安装 副本。
警告除非想安装容器仅用于测试目的,否则 始终使用
publish选项。在不发布的情况下,不会向 Atomic Host 系统发布任何端口,该服务器将无法从容器外部访问。
