Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. IdM 서버 설치: 소개

참고
다음 섹션의 설치 절차와 예제는 함께 사용할 수 없습니다. 필요한 결과를 얻기 위해 결합할 수 있습니다. 예를 들어, 통합된 DNS와 외부 호스트 루트 CA로 서버를 설치할 수 있습니다.
ipa-server-install 유틸리티는 IdM 서버를 설치 및 구성합니다.
서버를 설치하기 전에 다음 섹션을 참조하십시오.
ipa-server-install 유틸리티는 자동화된 서버 설정을 허용하는 비대화형 설치 모드를 제공합니다. 자세한 내용은 를 참조하십시오. 2.3.7절. “비활성 서버 설치”
ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그가 문제를 식별하는 데 도움이 될 수 있습니다.

2.3.1. 통합 DNS 사용 여부 결정

IdM은 통합된 DNS를 통해 또는 통합된 DNS 없이 서버를 설치할 수 있도록 지원합니다.
통합 DNS 서비스가 포함된 IdM 서버
IdM에서 제공하는 통합 DNS 서버는 범용 DNS 서버로 사용하도록 설계되지 않았습니다. IdM 배포 및 유지 관리와 관련된 기능만 지원합니다. 일부 고급 DNS 기능은 지원하지 않습니다.
Red Hat은 IdM 배포 내의 기본 사용에 대해 IdM 통합 DNS를 강력하게 권장합니다. IdM 서버가 DNS도 관리하는 경우 DNS와 기본 IdM 툴이 긴밀하게 통합되어 일부 DNS 레코드 관리를 자동화할 수 있습니다.
IdM 서버를 마스터 DNS 서버로 사용하는 경우에도 다른 외부 DNS 서버를 슬레이브 서버로 사용할 수 있습니다.
예를 들어, 사용 환경에서 Active Directory 통합 DNS 서버와 같은 다른 DNS 서버를 이미 사용하고 있는 경우 IdM 기본 도메인만 IdM 통합 DNS에 위임할 수 있습니다. IdM 통합 DNS로 DNS 영역을 마이그레이션할 필요가 없습니다.
참고
SAN(Subject Alternative Name) 확장에 IP 주소가 있는 IdM 클라이언트의 인증서를 발행해야 하는 경우 IdM 통합 DNS 서비스를 사용해야 합니다.
통합 DNS가 포함된 서버를 설치하려면 다음을 참조하십시오. 2.3.3절. “통합 DNS로 서버 설치”
통합 DNS 서비스가 없는 IdM 서버
외부 DNS 서버는 DNS 서비스를 제공하는 데 사용됩니다. 다음 상황에서 DNS 없이 IdM 서버를 설치하는 것이 좋습니다.
  • IdM DNS 범위를 벗어난 고급 DNS 기능이 필요한 경우
  • 외부 DNS 서버를 사용할 수 있도록 구성된 DNS 인프라가 있는 환경에서
통합 DNS 없이 서버를 설치하려면 를 참조하십시오. 2.3.4절. “통합 DNS가 없는 서버 설치”
중요
시스템이 2.1.5절. “호스트 이름 및 DNS 구성” 에 설명된 DNS 요구 사항을 충족하는지 확인합니다.

통합 또는 외부 DNS에 대한 유지 관리 요구 사항

통합 DNS 서버를 사용하는 경우 대부분의 DNS 레코드 유지 관리가 자동화됩니다. 필수 항목만 있으면 됩니다.
  • 상위 도메인에서 IdM 서버로 올바른 위임 설정
    예를 들어 IdM 도메인 이름이 ipa.example.com 인 경우 example.com 도메인에서 올바르게 위임해야 합니다.
    참고
    다음 명령을 사용하여 위임을 확인할 수 있습니다. 
    # dig @IP_address +norecurse +short ipa.example.com. NS
    ip_addressexample.com DNS 도메인을 관리하는 서버의 IP 주소입니다. 위임이 올바르면 명령에서 DNS 서버가 설치된 IdM 서버를 나열합니다.
외부 DNS 서버를 사용하는 경우 다음을 수행해야 합니다.
  • DNS 서버에서 수동으로 새 도메인 생성
  • IdM 설치 프로그램에서 생성된 영역 파일의 레코드를 사용하여 새 도메인을 수동으로 입력합니다.
  • 복제본을 설치하거나 제거한 후 및 Active Directory 신뢰가 구성된 후와 같이 서비스 구성을 변경한 후에 수동으로 레코드를 업데이트합니다.

DNS 분할 공격 방지

IdM 통합 DNS 서버의 기본 구성을 사용하면 모든 클라이언트가 DNS 서버에 재귀적 쿼리를 실행할 수 있습니다. 서버가 신뢰할 수 없는 클라이언트가 있는 네트워크에 배포된 경우 서버의 구성을 변경하여 권한 있는 클라이언트로만 재귀를 제한합니다. [1]
권한이 부여된 클라이언트만 재귀 쿼리를 실행할 수 있도록 하려면 서버의 /etc/named.conf 파일에 적절한 ACL(액세스 제어 목록) 문을 추가합니다. 예를 들어 다음과 같습니다. 
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
  allow-query { any; };
  allow-recursion { authorized; };
};

2.3.2. 사용할 CA 구성 결정

IdM은 통합된 IdM 인증 기관(CA)을 사용하거나 CA가 없는 서버를 설치할 수 있도록 지원합니다.
통합 IdM CA가 있는 서버
대부분의 배포에 적합한 기본 구성입니다. Certificate System은 CA 서명 인증서를 사용하여 IdM 도메인에서 인증서를 생성하고 서명합니다.
주의
두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.
CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.
IdM CA 서명 인증서는 자체 서명 라고도 하는 루트 CA 또는 외부 CA에서 서명할 수 있습니다.
IdM CA는 루트 CA입니다.
기본 구성입니다.
이 구성으로 서버를 설치하려면 2.3.3절. “통합 DNS로 서버 설치”2.3.4절. “통합 DNS가 없는 서버 설치” 을 참조하십시오.
외부 CA는 루트 CA입니다.
IdM CA는 외부 CA에 종속되어 있습니다. 그러나 IdM 도메인의 모든 인증서는 인증서 시스템 인스턴스에서 계속 발급됩니다.
외부 CA는 corporate CA 또는 Thawte와 같은 타사 CA일 수 있습니다. 외부 CA는 루트 CA 또는 하위 CA일 수 있습니다. IdM 도메인 내에서 발행된 인증서는 유효 기간 또는 인증서를 발급할 수 있는 도메인과 같이 외부 루트 CA 또는 중간 CA 인증서에서 설정한 제한 사항을 적용할 수 있습니다.
외부 호스트 루트 CA를 사용하여 서버를 설치하려면 다음을 참조하십시오. 2.3.5절. “외부 CA를 루트 CA로 사용하여 서버 설치”
CA가 없는 서버
이 구성 옵션은 인프라 내 제한이 서버에 인증서 서비스를 설치할 수 없는 경우 매우 드문 경우에 적합합니다.
설치하기 전에 타사 기관에서 이러한 인증서를 요청해야 합니다.
  • LDAP 서버 인증서 및 개인 키
  • Apache 서버 인증서 및 개인 키
  • LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인
주의
통합 IdM CA 없이 인증서를 관리하는 것은 상당한 유지 관리 부담입니다. 예를 들어, IdM 서버의 Apache 웹 서버 및 LDAP 서버 인증서를 수동으로 관리해야 합니다. 여기에는 다음이 포함됩니다.
  • 인증서 생성 및 업로드.
  • 인증서 만료 날짜 모니터링. certmonger 서비스는 통합 CA 없이 IdM을 설치한 경우 인증서를 추적하지 않습니다.
  • 중단을 방지하기 위해 만료되기 전에 인증서를 갱신합니다.
통합된 CA 없이 서버를 설치하려면 다음을 참조하십시오. 2.3.6절. “CA 없는 상태에서 설치”
참고
CA 없이 IdM 도메인을 설치하는 경우 나중에 CA 서비스를 설치할 수 있습니다. 기존 IdM 도메인에 CA를 설치하려면 26.8절. “기존 IdM 도메인에 CA 설치” 을 참조하십시오.

2.3.3. 통합 DNS로 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
통합 DNS를 사용하여 서버를 설치하려면 설치 프로세스 중에 다음 정보를 입력합니다.
DNS 전달자
다음 DNS 전달자 설정이 지원됩니다.
  • 하나 이상의 전달자(대화식 설치의 --forwarder 옵션)
  • 전달자 없음(대화식 설치의 --no-forwarders 옵션)
DNS 전달을 사용할지 여부를 모르는 경우 33.6절. “DNS 전달 관리” 을 참조하십시오.
역방향 DNS 영역
다음과 같은 역방향 DNS 영역 설정이 지원됩니다.
  • IdM DNS에서 생성해야 하는 역방향 영역의 자동 감지(상호식 설치의 기본 설정, 비대화형 설치의 --auto-reverse 옵션)
  • 역방향 영역 자동 감지(상호 설치의 --no-reverse 옵션)가 없습니다.
-- auto-reverse 옵션이 설정된 경우 --allow-zone- overlap 옵션이 무시됩니다. 옵션 조합 사용: 
$ ipa-server-install --auto-reverse --allow-zone-overlap
따라서 다른 DNS 서버 등의 기존 DNS 영역과 겹치는 역방향 영역을 생성하지 않습니다.
비대화형 설치의 경우 --setup-dns 옵션도 추가합니다.

예 2.1. 통합 DNS로 서버 설치

이 절차에서는 서버를 설치합니다.
  • 통합 DNS 사용
  • 기본 CA 구성인 루트 CA로 통합 IdM CA 사용
  1. ipa-server-install 유틸리티를 실행합니다. 
    # ipa-server-install
  2. 스크립트는 통합 DNS 서비스를 구성하라는 메시지를 표시합니다. yes 를 입력합니다. 
    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. 스크립트에서 몇 가지 필수 설정에 대한 메시지를 표시합니다.
    • 대괄호로 기본값을 허용하려면 Enter 를 누릅니다.
    • 제안된 기본값과 다른 값을 제공하려면 필수 값을 입력합니다. 
    Server host name [server.example.com]:
Please confirm the domain name [example.com]:
Please provide a realm name [EXAMPLE.COM]:
    주의
    Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
    이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
  4. Directory Server superuser의 암호, cn=Directory Manager, admin IdM 시스템 사용자 계정에 암호를 입력합니다. 
    Directory Manager password:
IPA admin password:
  5. 스크립트에서 DNS 전달자를 묻는 메시지를 표시합니다. 
    Do you want to configure DNS forwarders? [yes]:
    • DNS 전달자를 구성하려면 yes 를 입력한 다음 명령줄의 지침을 따릅니다.
      설치 프로세스는 설치된 IdM 서버의 /etc/named.conf 파일에 전달자 IP 주소를 추가합니다.
      • 전달 정책 기본 설정은 ipa-dns-install(1) 도움말 페이지의 --forward-policy 설명을 참조하십시오.
      • 자세한 내용은 “전달 정책” 을 참조하십시오.
    • DNS 전달을 사용하지 않으려면 no 를 입력합니다.
  6. 스크립트에서는 서버와 연결된 IP 주소에 대한 DNS 역방향(PTR) 레코드를 구성해야 하는지 확인하라는 메시지를 표시합니다. 
    Do you want to search for missing reverse zones? [yes]:
    검색 및 누락된 역방향 영역을 실행하면 스크립트에서 PTR 레코드와 함께 역방향 영역을 만들지 여부를 묻습니다. 
    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
    참고
    IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 이 용도로 사용할 수 있습니다.
  7. yes 를 입력하여 서버 구성을 확인합니다. 
    Continue to configure the system with these values? [no]: yes
  8. 이제 설치 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  9. 상위 도메인에서 IdM DNS 도메인에 DNS 위임을 추가합니다. 예를 들어 IdM DNS 도메인이 ipa.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.
    중요
    IdM DNS 서버가 설치될 때마다 이 단계를 반복해야 합니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다. 
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다. 
    # ipa user-find admin
--------------
1 user matched
--------------
User login: admin 
Last name: Administrator 
Home directory: /home/admin 
Login shell: /bin/bash 
UID: 939000000 
GID: 939000000 
Account disabled: False 
Password: True 
Kerberos keys available: True 
----------------------------
Number of entries returned 1
----------------------------

2.3.4. 통합 DNS가 없는 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
통합된 DNS 없이 서버를 설치하려면 DNS 관련 옵션 없이 ipa-server-install 유틸리티를 실행합니다.

예 2.2. 통합 DNS가 없는 서버 설치

이 절차에서는 서버를 설치합니다.
  • 통합 DNS가 없는 경우
  • 기본 CA 구성인 루트 CA로 통합 IdM CA 사용
  1. ipa-server-install 유틸리티를 실행합니다. 
    # ipa-server-install
  2. 스크립트는 통합 DNS 서비스를 구성하라는 메시지를 표시합니다. Enter 를 눌러 기본 no 옵션을 선택합니다. 
    Do you want to configure integrated DNS (BIND)? [no]:
  3. 스크립트에서 몇 가지 필수 설정에 대한 메시지를 표시합니다.
    • 대괄호로 기본값을 허용하려면 Enter 를 누릅니다.
    • 제안된 기본값과 다른 값을 제공하려면 필수 값을 입력합니다. 
    Server host name [server.example.com]:
Please confirm the domain name [example.com]:
Please provide a realm name [EXAMPLE.COM]:
    주의
    Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
    이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
  4. Directory Server superuser의 암호, cn=Directory Manager, admin IdM 시스템 사용자 계정에 암호를 입력합니다. 
    Directory Manager password:
IPA admin password:
  5. yes 를 입력하여 서버 구성을 확인합니다. 
    Continue to configure the system with these values? [no]: yes
  6. 이제 설치 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  7. 설치 스크립트는 DNS 리소스 레코드가 있는 파일인 /tmp/ipa.system. recordss.UFRPto.db 파일을 아래 예제 출력에 생성합니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다. 
    ...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
    중요
    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다. 
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다. 
    # ipa user-find admin
--------------
1 user matched
--------------
User login: admin 
Last name: Administrator 
Home directory: /home/admin 
Login shell: /bin/bash 
UID: 939000000 
GID: 939000000 
Account disabled: False 
Password: True 
Kerberos keys available: True 
----------------------------
Number of entries returned 1
----------------------------

2.3.5. 외부 CA를 루트 CA로 사용하여 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
서버를 설치하고 루트 CA로 외부 CA를 사용하여 연결하려면 ipa-server-install 유틸리티를 사용하여 다음 옵션을 전달합니다.
  • --external-ca 는 외부 CA를 사용하도록 지정합니다.
  • --external-ca-type 은 외부 CA의 유형을 지정합니다. 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.
그렇지 않으면 대부분의 설치 절차는 2.3.3절. “통합 DNS로 서버 설치” 또는 2.3.4절. “통합 DNS가 없는 서버 설치” 과 동일합니다.
인증서 시스템 인스턴스를 구성하는 동안 유틸리티는 CSR(인증서 서명 요청): /root/ipa.csr 의 위치를 출력합니다. 
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
이 경우 다음을 수행합니다.
  1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
    중요
    인증서에 적절한 확장 기능을 요청해야 할 수 있습니다. Identity Management용으로 생성된 CA 서명 인증서는 유효한 CA 인증서여야 합니다. 이를 위해 기본 제약 조건 확장 true 에서 CA 매개변수를 설정해야 합니다. 자세한 내용은 RFC 5280기본 제약 조건 섹션을 참조하십시오.
  2. 64로 인코딩된 기본 Blob에서 발행된 CA의 발행 인증서 및 CA 인증서 체인을 검색합니다(Gecl 파일 또는 Windows CA의 Base_64 인증서). 이 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일에 있는 다운로드 링크를 통해 관리자는 필요한 모든 인증서를 다운로드할 수 있습니다.
    중요
    CA 인증서가 아닌 CA의 전체 인증서 체인을 가져와야 합니다.
  3. ipa-server-install을 다시 실행합니다. 이번에는 새로 발급한 CA 인증서와 CA 체인 파일의 위치 및 이름을 지정합니다. 예를 들어 다음과 같습니다. 
    # ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
참고
ipa-server-install --external-ca 명령은 다음 오류로 인해 실패하는 경우가 있습니다. 
ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed
이 오류는 *_proxy 환경 변수가 설정될 때 발생합니다. 이 문제를 해결하는 방법에 대한 해결 방법은 다음을 참조하십시오. B.1.1절. “외부 CA 설치 실패”

2.3.6. CA 없는 상태에서 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
CA 없이 서버를 설치하려면 ipa-server-install 유틸리티에 옵션을 추가하여 필요한 인증서를 수동으로 제공해야 합니다. 그 외에도 대부분의 설치 절차는 2.3.3절. “통합 DNS로 서버 설치” 또는 2.3.4절. “통합 DNS가 없는 서버 설치” 과 동일합니다.
중요
자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.

CA 없이 IdM 서버 설치에 필요한 인증서

CA가 없는 IdM 서버 설치의 경우 다음 인증서를 제공해야 합니다.
  • 다음 옵션을 사용하여 제공되는 LDAP 서버 인증서 및 개인 키:
    • --dirsrv-cert-file: LDAP 서버 인증서에 대한 인증서 및 개인 키 파일
    • --dirsrv- cert-file에 지정된 파일의 개인 키에 액세스하는 암호가 --dirsrv-pin
  • 다음 옵션을 사용하여 제공되는 Apache 서버 인증서 및 개인 키:
    • 인증서 용 --HTTP-cert-file 및 Apache 서버 인증서에 대한 개인 키 파일
    • --http- cert-file에 지정된 파일의 개인 키에 액세스하는 암호의 --HTTP-pin
  • 다음 옵션을 사용하여 제공된 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인입니다.
    • 전체 CA 인증서 체인 또는 일부 인증서 파일의 --dirsrv-cert-file 및 --http -cert-file
      다음 형식으로 --dirsrv-cert-file 및 --http- cert-file 옵션에 지정된 파일을 제공할 수 있습니다.
      • PEM(개인 정보 보호 이메일) 인코딩 인증서(RFC 7468). IdM 설치 프로그램에서는 연결된 PEM 인코딩 오브젝트를 사용할 수 있습니다.
      • 고유 인코딩 규칙(DER)
      • PKCS #7 인증서 체인 오브젝트
      • PKCS #8 개인 키 오브젝트
      • PKCS #12 아카이브
      --dirsrv-cert-file 및 --http- cert-file 옵션을 여러 번 지정하여 여러 파일을 지정할 수 있습니다.
  • 필요한 경우 다음 옵션을 사용하여 제공된 전체 CA 인증서 체인을 완료하는 인증서 파일입니다.
    • --CA-cert-file 은 이 옵션을 여러 번 추가할 수 있습니다.
  • 선택적으로, 다음 옵션을 사용하여 제공된 외부 KDC(Kerberos 키 배포 센터) PKINIT 인증서를 제공하는 인증서 파일:
    • Kerberos KDC SSL 인증서 및 개인 키의 --PKINIT-cert-file
    • Kerberos KDC 개인 키 잠금을 해제하는 암호가 --PKINIT-pin
    PKINIT 인증서를 제공하지 않으면 ipa-server-install 은 자체 서명된 인증서가 있는 로컬ECDHE로 IdM 서버를 구성합니다. 자세한 내용은 27장. IdM의 Kerberos PKINIT 인증 의 내용을 참조하십시오.
-- ca-cert- file 및 -- http-cert-file을 사용하여 제공된 파일과 함께 --dirsrv - cert-file 및 --http-cert-file 을 사용하여 제공된 파일에는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 있어야 합니다.
이러한 옵션에서 허용하는 인증서 파일 형식에 대한 자세한 내용은 ipa-server-install(1) 도움말 페이지를 참조하십시오.
참고
나열된 명령줄 옵션은 --external-ca 옵션과 호환되지 않습니다.
참고
이전 버전의 Identity Management에서는 --root-ca-file 옵션을 사용하여 루트 CA 인증서의 PEM 파일을 지정했습니다. 신뢰할 수 있는 CA가 항상 DS 및 HTTP 서버 인증서의 발급자이므로 이 작업은 더 이상 필요하지 않습니다. IdM은 이제 --dirsrv-cert-file, --http-cert-file--ca-cert-file 에 지정된 인증서에서 루트 CA 인증서를 자동으로 인식합니다.

예 2.3. CA 없이 IdM 서버 설치 명령 예

[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt

2.3.7. 비활성 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
비대화식 설치에 필요한 최소 옵션은 다음과 같습니다.
  • Directory Server 슈퍼 사용자의 암호를 제공하는 --DS-password
  • --admin-password: IdM 관리자인 admin의 암호를 제공합니다.
  • Kerberos 영역 이름 제공 --realm
  • 설치 프로세스에서 호스트 이름 및 도메인 이름에 대한 기본 옵션을 선택하도록 하려면 --u nattended
선택적으로 다음 설정에 대한 사용자 정의 값을 제공할 수 있습니다.
  • 서버 호스트 이름에 --hostname
  • 도메인 이름의 --domain
사용자 지정 값으로 LDIF 파일의 경로를 지정하여 --dirsrv-config-file 매개변수를 사용하여 기본 Directory Server 설정을 변경할 수도 있습니다. 자세한 내용은 Red Hat Enterprise Linux 7.3 릴리스 노트에서 서버 또는 복제본 설치 중에 개별 디렉터리 서버 옵션 설정을 지원하는 IdM 을 참조하십시오.
주의
Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
ipa-server-install 에서 허용하는 전체 옵션 목록은 ipa-server-install --help 명령을 실행하십시오.

예 2.4. 상호 작용이 없는 기본 설치

  1. 필요한 설정을 제공하여 ipa-server-install 유틸리티를 실행합니다. 예를 들어, 다음은 통합된 DNS 및 통합된 CA에 서버를 설치합니다. 
    # ipa-server-install --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  2. 이제 설정 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  3. 설치 스크립트는 DNS 리소스 레코드가 있는 파일인 /tmp/ipa.system. recordss.UFRPto.db 파일을 아래 예제 출력에 생성합니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다. 
    ...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
    중요
    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다. 
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다. 
    # ipa user-find admin
--------------
1 user matched
--------------
User login: admin 
Last name: Administrator 
Home directory: /home/admin 
Login shell: /bin/bash 
UID: 939000000 
GID: 939000000 
Account disabled: False 
Password: True 
Kerberos keys available: True 
----------------------------
Number of entries returned 1
----------------------------

[1] 자세한 내용은 DNS Amplification Attacks 페이지를 참조하십시오.