2.5. 在容器中安装身份管理服务器:没有 CA
这个步骤描述了如何在没有集成身份管理证书颁发机构(CA)的情况下安装服务器。
容器化身份管理服务器和 Atomic 主机系统共享文件系统的部分,这些部分使用 绑定 挂载到容器中。因此,与外部文件相关的操作必须在这个卷中执行。
ipa-server 容器镜像使用 /var/lib/<container_name>/ 目录在 Atomic Host 文件系统中存储持久文件。持久性卷映射到容器内的 /data/ 目录。
开始前
请注意,容器安装使用
ipa-server-install使用与非容器安装相同的默认配置。要指定自定义配置,请在以下步骤中使用的atomic install命令中添加额外的选项:- 用于 ipa-server 容器的 Atomic 选项。有关完整列表,请查看容器帮助页。
-
ipa-server-install接受的身份管理安装程序选项 ,请参阅 Linux 域身份、身份验证和策略指南中的安装和卸载身份管理服务器。
步骤
在
/var/lib/<container_name>/中为容器手动创建持久性存储目录:$ mkdir -p /var/lib/ipa-server将包含证书链的文件复制到目录中:
$ cp /root/server-*.p12 /var/lib/ipa-server/.使用
atomic install命令,并从第三方机构提供所需的证书:$ atomic install --name server-container rhel7/ipa-server publish \ --hostname server.example.com \ ipa-server-install \ --dirsrv-cert-file=/data/server-dirsrv-cert.p12 \ --dirsrv-pin=1234 \ --http-cert-file=/data/server-http-cert.p12 \ --http-pin=1234 \ --pkinit-cert-file=/data/server-pkinit-cert.p12 \ --pkinit-pin=1234
容器需要自己的主机名。为容器使用不同的主机名,而不是 Atomic Host 系统的主机名。容器的主机名必须通过 DNS 或 /etc/hosts 文件解析。
注意安装服务器或副本容器不将 Atomic 主机系统本身注册到身份管理域。如果您将 Atomic Host 系统的主机名用于服务器或副本,您将无法在以后注册 Atomic Host 系统。
重要在安装服务器或副本容器时,始终将
--hostname选项与atomic install搭配使用。因为--hostname被视为 Atomic 选项,而不是 Identity Management 安装程序选项,请在ipa-server-install选项前使用它。当ipa-server-install后使用时,安装会忽略--hostname。-
如果您使用集成 DNS 安装服务器,请添加
--ip-address选项以指定可从网络访问的 Atomic 主机的公共 IP 地址。您可以多次使用--ip-address。
警告除非想安装容器仅用于测试目的,否则 始终使用
publish选项。在不发布的情况下,不会向 Atomic Host 系统发布任何端口,该服务器将无法从容器外部访问。ipa-server-installsetup 脚本启动:The log file for this installation can be found in /var/log/ipaserver-install.log ======================================== This program will set up the IPA Server. [... output truncated ...]
使用
ipa-server-install程序安装非容器服务器时,该过程与 的作用相同。
