20.4. 授权在未注册到 IdM 的系统上安装副本
当在没有在身份管理(IdM)域中注册的系统上 安装副本 时,ipa-replica-install
工具首先将系统注册为客户端,然后安装副本组件。在这种情况下,请选择下面的 方法 1 或 方法 2 来授权副本安装。如果以下任何一个适用,请选择 方法 1 :
- 您希望高级系统管理员执行流程的初始部分,初级管理员执行其余部分。
- 您希望自动执行副本安装。
- 方法 1:在 IdM 服务器上生成的随机密码
在域中的任何服务器上输入以下命令:
以管理员身份登录。
$ kinit admin
将外部系统添加为 IdM 主机。使用
ipa host-add
命令的--random
选项来生成用于后续副本安装的随机一次性密码。$ ipa host-add replica.example.com --random -------------------------------------------------- Added host "replica.example.com" -------------------------------------------------- Host name: replica.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.example.com
当使用生成的密码将机器注册到 IdM 域后,生成的密码将变为无效。注册完成后,它将被一个正确的主机 keytab 替换。
将系统添加到
ipaservers
主机组。$ ipa hostgroup-add-member ipaservers --hosts replica.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, replica.example.com ------------------------- Number of members added 1 -------------------------
注意ipaservers
组中的成员授予机器类似于管理员凭证的提升特权。因此,在下一步中,ipa-replica-install
工具可以由提供生成的随机密码的初级系统管理员在主机上成功运行。- 方法 2:特权用户的凭证
使用此方法,您可以通过提供特权用户的凭证来授权副本安装。默认特权用户为
admin
。在运行 IdM 副本安装工具之前不需要任何操作。在安装过程中,将主体名称和密码选项(
--principal admin --admin-password password
)直接添加到ipa-replica-install
命令中。
其他资源
- 要启动安装过程,请参阅 安装 IdM 副本。
- 您可以使用 Ansible playbook 来安装 IdM 副本。如需更多信息,请参阅 使用 Ansible playbook 来安装身份管理副本。