搜索

7.3. 非互动安装

download PDF

这个过程安装服务器:

  • 没有集成的 DNS
  • 使用外部证书颁发机构(CA)作为 root CA
注意

ipa-server-install 安装脚本在 /var/log/ipaserver-install.log 中创建一个日志文件。如果安装失败,日志可帮助您辨别问题。

先决条件

  • 您已确定了要通过 --external-ca-type 选项指定的外部 CA 的类型。详情请查看 ipa-server-install(1)手册页。
  • 如果您使用 Microsoft Certificate Services 证书颁发机构(MS CS CA)作为外部 CA:您已确定要通过 --external-ca-profile 选项指定的证书配置文件或模板。默认情况下使用 SubCA 模板。

    有关 --external-ca-type--external-ca-profile 选项的更多信息,请参阅 在安装外部 CA 作为根 CA 的 IdM CA 时使用的选项

流程

  1. 运行带有选项的 ipa-server-install 工具以提供所有必需的信息。使用外部 CA 的 IdM 服务器非互动安装的最低必需选项是:

    • --external-ca 用于指定外部 CA 是根CA
    • --realm 提供 Kerberos 领域名
    • --ds-password 为目录管理者(DM)(目录服务器超级用户)提供密码
    • --admin-passwordadmin (IdM 管理员)提供密码
    • --unattended ,让安装进程为主机名和域名选择默认选项

      例如:

      # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

    如果您使用 Microsoft 证书服务(MS CS) CA,也使用 --external-ca-type 选项,并选择使用 --external-ca-profile 选项。如需更多信息,请参阅 安装外部 CA 作为根 CA 的 IdM CA 时使用的选项

  2. 在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置: /root/ipa.csr:

    ...
    
    Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
      [1/11]: configuring certificate server instance
    The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
    /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
    The ipa-server-install command was successful

    当发生这种情况时:

    1. 将位于 /root/ipa.csr 中的 CSR 提交给外部 CA。这个过程根据要用作外部 CA 的服务的不同而有所不同。
    2. 在基础 64 编码 blob 中检索颁发的证书和颁发 CA 的 CA 证书链(Windows CA 的 PEM 文件或 Base_64 证书)。同样,不同的证书服务的进程会有所不同。通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。

      重要

      确保获取 CA 的完整证书链,而不只是 CA 证书。

    3. 再次运行 ipa-server-install,这次指定新发布的 CA 证书和 CA 链文件的位置和名称。例如:

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  3. 安装脚本现在配置服务器。等待操作完成。
  4. 安装脚本生成包含 DNS 资源记录的文件:下面示例输出中的 /tmp/ipa.system.records.UFRPto.db 文件。将这些记录添加到现有的外部 DNS 服务器中。更新 DNS 记录的过程因特定的 DNS 解决方案而异。

    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
重要

在将 DNS 记录添加到现有 DNS 服务器之前,服务器安装不会完成。

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.