D.2. 创建副本
以下小节描述了最显著的副本安装场景。
- 流程和示例不是相互排斥的;可以同时使用 CA、DNS 和其他命令行选项。以下部分中的示例单独调用,以便更清晰地了解每个配置区域所需的内容。
ipa-replica-install
工具也接受多个其他选项。如需完整的列表,ipa-replica-install(1) man page。
D.2.1. 在没有 DNS 的情况下安装 Replica
- 在 master IdM 服务器上,运行
ipa-replica-prepare
工具并添加 副本 计算机的完全限定域名(FQDN)。请注意,ipa-replica-prepare
脚本不会验证 IP 地址,或者验证副本的 IP 地址是否可以被其他服务器访问。重要不要使用单标签域名,例如 .company:IdM 域必须由一个或多个子域和一个顶层域组成,如 example.com 或 company.example.com。完全限定域名必须满足以下条件:- 它是一个有效的 DNS 名称,即只允许数字、字母字符和连字符(-)。主机名中的其他字符(如下划线(_))会导致 DNS 失败。
- 都是小写。不允许使用大写字母。
- 完全限定域名不能解析到环回地址。它必须解析到计算机的公共 IP 地址,而不是
127.0.0.1
。
有关其他推荐的命名实践,请参阅 Red Hat Enterprise Linux 安全指南中的 推荐命名实践。如果 master 服务器配置了集成的 DNS,请使用--ip-address
选项指定副本机器的 IP 地址。然后,安装脚本会询问您是否要为副本配置反向区域。只有 IdM 服务器配置了集成的 DNS 时,才传递--ip-address
。否则,没有要更新的 DNS 记录,当 DNS 记录操作失败时,会尝试创建副本失败。出现提示时,输入初始主服务器的目录管理器(DM)密码。ipa-replica-prepare
的输出显示副本信息文件的位置。例如:[root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2 Directory Manager (existing master) password: Do you want to configure the reverse zone? [yes]: no Preparing replica for replica.example.com from server.example.com Creating SSL certificate for the Directory Server Creating SSL certificate for the dogtag Directory Server Saving dogtag Directory Server port Creating SSL certificate for the Web Server Exporting RA certificate Copying additional files Finalizing configuration Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg Adding DNS records for replica.example.com Waiting for replica.example.com. A or AAAA record to be resolvable This can be safely interrupted (Ctrl+C) The ipa-replica-prepare command was successful
警告副本信息文件包含敏感信息。采取适当步骤确保正确保护它们。有关可以添加到ipa-replica-prepare
的其他选项,请查看 ipa-replica-prepare(1) man page。 - 在副本机器上 安装 ipa-server 软件包。
[root@replica ~]# yum install ipa-server
- 将副本信息文件复制到副本机器中:
[root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
- 在副本机器上,运行
ipa-replica-install
工具并添加复制信息文件的位置,以启动副本初始化过程。提示时输入原始主服务器的目录管理器和管理密码,并等待副本安装脚本完成。[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg Directory Manager (existing master) password: Run connection check to master Check connection from replica to remote master 'server.example.com': ... Connection from replica to master is OK. Start listening on required ports for remote master check Get credentials to log in to remote master admin@MASTER.EXAMPLE.COM password: Check SSH connection to remote master ... Connection from master to replica is OK. ... Configuring NTP daemon (ntpd) [1/4]: stopping ntpd [2/4]: writing configuration ... Restarting Directory server to apply updates [1/2]: stopping directory server [2/2]: starting directory server Done. Restarting the directory server Restarting the KDC Restarting the web server
注意如果安装的副本文件与当前主机名不匹配,则副本安装脚本会显示警告信息并要求确认。在某些情况下,如在多主机器中,您可以确认继续使用不匹配的主机名。有关可添加到ipa-replica-install
的命令行选项,请查看 ipa-replica-prepare(1) man page。请注意,其中一个选项ipa-replica-install
接受是--ip-address
选项。当添加到ipa-replica-install
时,--ip-address
仅接受与本地接口关联的 IP 地址。
D.2.2. 使用 DNS 安装副本
要安装带有集成 DNS 的副本,请按照 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的 DNS 安装步骤进行,但将这些选项添加到
ipa-replica-install
:
--setup-dns
--forwarder
详情请查看 第 4.5.3 节 “使用 DNS 安装副本”。
例如:
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
运行
ipa-replica-install
后,确保创建了正确的 DNS 条目,并选择性地将其他 DNS 服务器添加为备份服务器。详情请查看 第 4.5.3 节 “使用 DNS 安装副本”。
D.2.3. 使用 Various CA 配置安装 Replica
警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”。
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”。
从安装了证书系统 CA 的服务器安装 Replica
要在初始服务器配置了集成 Red Hat Certificate System 实例时在副本上设置 CA (不管它是 root CA,还是从属到外部 CA),请遵循 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的基本安装过程,但将
--setup-ca
选项添加到 ipa-replica-install
工具中。setup -ca
选项从初始服务器配置中复制 CA 配置。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca
从没有安装证书系统 CA 的服务器安装 Replica
对于无 CA 副本安装,请按照 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的基本流程,但在初始服务器上运行
ipa-replica-prepare
工具时添加以下选项:
--dirsrv-cert-file
--dirsrv-pin
--http-cert-file
--http-pin
例如:
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt
D.2.4. 添加额外的复制协议
使用
ipa-replica-install
安装副本会在主服务器和副本之间创建初始复制协议。要将副本连接到其他服务器或副本,请使用 ipa-replica-manage
工具添加额外的协议。
如果 master 服务器和新副本安装了 CA,也会创建一个 CA 的复制协议。要向其他服务器或副本添加额外的 CA 复制协议,请使用
ipa-csreplica-manage
工具。
有关添加额外复制协议的详情请参考 第 D.3 节 “管理副本和复制协议”。