搜索

D.2. 创建副本

download PDF
以下小节描述了最显著的副本安装场景。
  • 流程和示例不是相互排斥的;可以同时使用 CA、DNS 和其他命令行选项。以下部分中的示例单独调用,以便更清晰地了解每个配置区域所需的内容。
  • ipa-replica-install 工具也接受多个其他选项。如需完整的列表,ipa-replica-install(1) man page。

D.2.1. 在没有 DNS 的情况下安装 Replica

  1. 在 master IdM 服务器上,运行 ipa-replica-prepare 工具并添加 副本 计算机的完全限定域名(FQDN)。请注意,ipa-replica-prepare 脚本不会验证 IP 地址,或者验证副本的 IP 地址是否可以被其他服务器访问。
    重要
    不要使用单标签域名,例如 .company:IdM 域必须由一个或多个子域和一个顶层域组成,如 example.com 或 company.example.com。
    完全限定域名必须满足以下条件:
    • 它是一个有效的 DNS 名称,即只允许数字、字母字符和连字符(-)。主机名中的其他字符(如下划线(_))会导致 DNS 失败。
    • 都是小写。不允许使用大写字母。
    • 完全限定域名不能解析到环回地址。它必须解析到计算机的公共 IP 地址,而不是 127.0.0.1
    有关其他推荐的命名实践,请参阅 Red Hat Enterprise Linux 安全指南中的 推荐命名实践
    如果 master 服务器配置了集成的 DNS,请使用 --ip-address 选项指定副本机器的 IP 地址。然后,安装脚本会询问您是否要为副本配置反向区域。只有 IdM 服务器配置了集成的 DNS 时,才传递 --ip-address。否则,没有要更新的 DNS 记录,当 DNS 记录操作失败时,会尝试创建副本失败。
    出现提示时,输入初始主服务器的目录管理器(DM)密码。ipa-replica-prepare 的输出显示副本信息文件的位置。例如:
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
    Directory Manager (existing master) password:
    
    Do you want to configure the reverse zone? [yes]: no
    Preparing replica for replica.example.com from server.example.com
    Creating SSL certificate for the Directory Server
    Creating SSL certificate for the dogtag Directory Server
    Saving dogtag Directory Server port
    Creating SSL certificate for the Web Server
    Exporting RA certificate
    Copying additional files
    Finalizing configuration
    Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
    Adding DNS records for replica.example.com
    Waiting for replica.example.com. A or AAAA record to be resolvable
    This can be safely interrupted (Ctrl+C)
    The ipa-replica-prepare command was successful
    
    警告
    副本信息文件包含敏感信息。采取适当步骤确保正确保护它们。
    有关可以添加到 ipa-replica-prepare 的其他选项,请查看 ipa-replica-prepare(1) man page。
  2. 在副本机器上 安装 ipa-server 软件包。
    [root@replica ~]# yum install ipa-server
  3. 将副本信息文件复制到副本机器中:
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. 在副本机器上,运行 ipa-replica-install 工具并添加复制信息文件的位置,以启动副本初始化过程。提示时输入原始主服务器的目录管理器和管理密码,并等待副本安装脚本完成。
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
    Directory Manager (existing master) password:
    
    Run connection check to master
    Check connection from replica to remote master 'server.example.com':
    
    ...
    
    Connection from replica to master is OK.
    Start listening on required ports for remote master check
    Get credentials to log in to remote master
    admin@MASTER.EXAMPLE.COM password:
    
    Check SSH connection to remote master
    
    ...
    
    Connection from master to replica is OK.
    
    ...
    
    Configuring NTP daemon (ntpd)
      [1/4]: stopping ntpd
      [2/4]: writing configuration
    
    ...
    
    Restarting Directory server to apply updates
      [1/2]: stopping directory server
      [2/2]: starting directory server
    Done.
    Restarting the directory server
    Restarting the KDC
    Restarting the web server
    
    注意
    如果安装的副本文件与当前主机名不匹配,则副本安装脚本会显示警告信息并要求确认。在某些情况下,如在多主机器中,您可以确认继续使用不匹配的主机名。
    有关可添加到 ipa-replica-install 的命令行选项,请查看 ipa-replica-prepare(1) man page。请注意,其中一个选项 ipa-replica-install 接受是 --ip-address 选项。当添加到 ipa-replica-install 时,--ip-address 仅接受与本地接口关联的 IP 地址。

D.2.2. 使用 DNS 安装副本

要安装带有集成 DNS 的副本,请按照 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的 DNS 安装步骤进行,但将这些选项添加到 ipa-replica-install
  • --setup-dns
  • --forwarder
例如:
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
运行 ipa-replica-install 后,确保创建了正确的 DNS 条目,并选择性地将其他 DNS 服务器添加为备份服务器。详情请查看 第 4.5.3 节 “使用 DNS 安装副本”

D.2.3. 使用 Various CA 配置安装 Replica

警告
红帽强烈建议将 CA 服务安装到多台服务器中。有关安装包括 CA 服务的初始服务器副本的详情请参考 第 4.5.4 节 “使用 CA 安装副本”
如果您只在一个服务器中安装 CA,则在 CA 服务器失败时可能会丢失 CA 配置且无法恢复。详情请查看 第 B.2.6 节 “恢复丢失的 CA 服务器”

从安装了证书系统 CA 的服务器安装 Replica

要在初始服务器配置了集成 Red Hat Certificate System 实例时在副本上设置 CA (不管它是 root CA,还是从属到外部 CA),请遵循 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的基本安装过程,但将 --setup-ca 选项添加到 ipa-replica-install 工具中。setup -ca 选项从初始服务器配置中复制 CA 配置。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca

从没有安装证书系统 CA 的服务器安装 Replica

对于无 CA 副本安装,请按照 第 D.2.1 节 “在没有 DNS 的情况下安装 Replica” 中描述的基本流程,但在初始服务器上运行 ipa-replica-prepare 工具时添加以下选项:
  • --dirsrv-cert-file
  • --dirsrv-pin
  • --http-cert-file
  • --http-pin
例如:
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt

D.2.4. 添加额外的复制协议

使用 ipa-replica-install 安装副本会在主服务器和副本之间创建初始复制协议。要将副本连接到其他服务器或副本,请使用 ipa-replica-manage 工具添加额外的协议。
如果 master 服务器和新副本安装了 CA,也会创建一个 CA 的复制协议。要向其他服务器或副本添加额外的 CA 复制协议,请使用 ipa-csreplica-manage 工具。
有关添加额外复制协议的详情请参考 第 D.3 节 “管理副本和复制协议”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.