6.3. 비대화형 설치

다음 절차에서는 서버를 설치합니다.

  • 통합 DNS 없음
  • 루트 CA로 외부 CA(인증 기관) 사용
참고

ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그를 통해 문제를 식별하는 데 도움이 될 수 있습니다.

사전 요구 사항

  • --external-ca-type 옵션으로 지정할 외부 CA의 유형을 결정했습니다. 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.

  • Microsoft 인증서 서비스 인증 기관(MS CS CA)을 외부 CA로 사용하는 경우: --external-ca-profile 옵션으로 지정할 인증서 프로필 또는 템플릿을 결정했습니다. 기본적으로 SubCA 템플릿이 사용됩니다.

    --external-ca-type--external-ca-profile 옵션에 대한 자세한 내용은 외부 CA를 루트 CA로 사용하여 IdM CA를 설치할 때 사용되는 옵션을 참조하십시오.

절차

  1. 옵션을 사용하여 ipa-server-install 유틸리티를 실행하여 필요한 모든 정보를 제공합니다. 루트 CA로 외부 CA를 사용하여 IdM 서버를 비대화형 설치에 필요한 최소 옵션은 다음과 같습니다.

    • 외부 CA를 지정하는 --external-ca 는 루트 CA입니다.
    • --realm: Kerberos 영역 이름을 제공합니다.
    • --ds-password: 디렉터리 서버 슈퍼 사용자 디렉터리 관리자(DM)의 암호를 제공합니다.
    • --admin-password: IdM 관리자인 admin의 암호를 제공합니다.

    • --unattended: 설치 프로세스에서 호스트 이름 및 도메인 이름에 대한 기본 옵션을 선택하도록 합니다.

      예를 들어 다음과 같습니다. 

      # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

    Microsoft 인증서 서비스(MS CS) CA를 사용하는 경우 --external-ca-type 옵션 및 선택적으로 --external-ca-profile 옵션을 사용합니다. 자세한 내용은 외부 CA를 사용하여 IdM CA를 설치할 때 루트 CA로 사용되는 옵션을 참조하십시오.

  2. 인증서 시스템 인스턴스를 구성하는 동안 유틸리티는 인증서 서명 요청(CSR): /root/ipa.csr: 

    ...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful

    이 경우:

    1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.

    2. 기본 64로 인코딩된 Blob(Windows CA의 PEM 파일 또는 Base_64 인증서)에서 발급한 인증서와 CA의 CA 인증서 체인을 검색합니다. 다시 말하지만, 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.

      중요

      CA 인증서뿐만 아니라 CA의 전체 인증서 체인을 가져옵니다.

    3. ipa-server-install을 다시 실행합니다. 이번에는 새로 발급한 CA 인증서와 CA 체인 파일의 위치 및 이름을 지정합니다. 예를 들어 다음과 같습니다. 

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  3. 이제 설치 스크립트가 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.

  4. 설치 스크립트는 DNS 리소스 레코드가 있는 파일을 생성합니다. /tmp/ipa.system.records.UFRPto.db 파일은 아래 예제 출력에 있습니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다. 

    ...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
중요

기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.

추가 리소스