1.2. 安装 RHEL 9 副本
列出 RHEL 8 环境中存在哪些服务器角色:
[root@rhel8 ~]# ipa server-role-find --status enabled --server rhel8.example.com ---------------------- 3 server roles matched ---------------------- Server name: rhel8.example.com Role name: CA server Role status: enabled Server name: rhel8.example.com Role name: DNS server Role status: enabled [... output truncated ...]
(可选)如果
rhel8.example.com
使用 rhel8.example.com 使用的rhel9.example.com
的相同的 per-server 转发器,请查看rhel8.example.com
的 per-server 转发器:[root@rhel8 ~]# ipa dnsserver-show rhel8.example.com ----------------------------- 1 DNS server matched ----------------------------- Server name: rhel8.example.com SOA mname: rhel8.example.com. Forwarders: 192.0.2.20 Forward policy: only -------------------------------------------------- Number of entries returned 1 --------------------------------------------------
在
rhel9.example.com
上安装 IdM 服务器软件,将其配置为 RHEL 8 IdM 服务器的副本,包括rhel8.example.com
上存在的所有服务器角色。要安装上例中的角色,请使用ipa-replica-install
命令的这些选项:-
--setup-ca
用来设置证书系统组件 --setup-dns
和--forwarder
来配置集成 DNS 服务器,并设置每服务器转发器来处理 IdM 域外的 DNS 查询注意另外,如果您的 IdM 部署与 Active Directory(AD)属于信任关系,请将
--setup-adtrust
选项添加到ipa-replica-install
命令中,以便在rhel9.example.com
上配置 AD 信任功能。--ntp-server
指定 NTP 服务器,或者--ntp-pool
指定 NTP 服务器池要设置其使用 IP 地址为 192.0.2.20 的每服务器转发器、IP 地址为 192.0.2.1 的 IdM 服务器 ,并与
ntp.example.com
NTP 服务器同步:[root@rhel9 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.com
您不需要指定 RHEL 8 IdM 服务器本身,因为如果 DNS 工作正常,
rhel9.example.com
将使用 DNS 自动发现来找到它。
-
-
[可选] 将您的外部
NTP
时间服务器的_ntp._udp
服务(SRV)记录添加到新安装的 IdM 服务器的 DNS ,即 rhel9.example.com。IdM DNS 中时间服务器的 SRV 记录可确保将来的 RHEL 9 副本和客户端安装被自动配置为与 rhel9.example.com 使用的时间服务器同步。这是因为ipa-client-install
会查找_ntp._udp
DNS 条目,除非在安装命令行界面(CLI)上提供了--ntp-server
或--ntp-pool
选项。
验证
验证 IdM 服务是否在
rhel9.example.com
上运行:[root@rhel9 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successful
验证
rhel9.example.com
的服务器角色是否与rhel8.example.com
相同:[root@rhel9 ~]# kinit admin [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com ---------------------- 2 server roles matched ---------------------- Server name: rhel9.example.com Role name: CA server Role status: enabled Server name: rhel9.example.com Role name: DNS server Role status: enabled
(可选)显示
rhel8.example.com
和rhel9.example.com
之间的复制协议详情:[root@rhel9 ~]# ipa-csreplica-manage list --verbose rhel9.example.com Directory Manager password: rhel8.example.com last init status: None last init ended: 1970-01-01 00:00:00+00:00 last update status: Error (0) Replica acquired successfully: Incremental update succeeded last update ended: 2019-02-13 13:55:13+00:00
(可选)如果您的 IdM 部署与 AD 有一个信任关系,请验证它是否正常工作:
- 验证 Kerberos 配置
尝试在
rhel9.example.com
上解析 AD 用户:[root@rhel9 ~]# id aduser@ad.domain
验证
rhel9.example.com
是否已与NTP
服务器同步:[root@rhel8 ~]# chronyc tracking Reference ID : CB00710F (ntp.example.com) Stratum : 3 Ref time (UTC) : Wed Feb 16 09:49:17 2022 [... output truncated ...]
其他资源