6.2. 대화형 설치

ipa-server-install 유틸리티를 사용한 대화형 설치 중에 시스템의 기본 구성(예: 영역, 관리자의 암호, Directory Manager의 암호)을 제공해야 합니다.

ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그를 통해 문제를 식별하는 데 도움이 될 수 있습니다.

서버를 설치하려면 다음 절차를 따르십시오.

  • 통합 DNS 없음
  • 루트 CA로 외부 CA(인증 기관) 사용

사전 요구 사항

  • --external-ca-type 옵션으로 지정할 외부 CA의 유형을 결정했습니다. 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.
  • Microsoft 인증서 서비스 인증 기관(MS CS CA)을 외부 CA로 사용하는 경우: --external-ca-profile 옵션으로 지정할 인증서 프로필 또는 템플릿을 결정했습니다. 기본적으로 SubCA 템플릿이 사용됩니다.

    --external-ca-type--external-ca-profile 옵션에 대한 자세한 내용은 외부 CA를 루트 CA로 사용하여 IdM CA를 설치할 때 사용되는 옵션을 참조하십시오.

절차

  1. --external-ca 옵션을 사용하여 ipa-server-install 유틸리티를 실행합니다.

    • Microsoft 인증서 서비스(MS CS) CA를 사용하는 경우 --external-ca-type 옵션 및 선택적으로 --external-ca-profile 옵션을 사용합니다.

      [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
    • IdM CA의 서명 인증서를 생성하는 데 MS CS를 사용하지 않는 경우 다른 옵션이 필요하지 않을 수 있습니다.

      # ipa-server-install --external-ca
  2. 스크립트에서 통합 DNS 서비스를 구성하라는 메시지가 표시됩니다. Enter 를 눌러 기본 no 옵션을 선택합니다.

    Do you want to configure integrated DNS (BIND)? [no]:
  3. 이 스크립트는 몇 가지 필수 설정을 입력하라는 메시지를 표시하고 대괄호에 권장되는 기본값을 제공합니다.

    • 기본값을 허용하려면 Enter 를 누릅니다.
    • 사용자 지정 값을 제공하려면 필요한 값을 입력합니다.

      Server host name [server.idm.example.com]:
      Please confirm the domain name [idm.example.com]:
      Please provide a realm name [IDM.EXAMPLE.COM]:
      주의

      이러한 이름을 신중하게 계획하십시오. 설치가 완료된 후에는 변경할 수 없습니다.

  4. Directory Server superuser(cn=Directory Manager)의 암호와 IdM 관리 시스템 사용자 계정(관리자)을 입력합니다.

    Directory Manager password:
    IPA admin password:
  5. yes 를 입력하여 서버 구성을 확인합니다.

    Continue to configure the system with these values? [no]: yes
  6. 인증서 시스템 인스턴스를 구성하는 동안 유틸리티는 인증서 서명 요청(CSR): /root/ipa.csr:

    ...
    
    Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
      [1/8]: creating certificate server user
      [2/8]: configuring certificate server instance
    The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
    /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

    이 경우:

    1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
    2. 기본 64로 인코딩된 Blob(Windows CA의 PEM 파일 또는 Base_64 인증서)에서 발급한 인증서와 CA의 CA 인증서 체인을 검색합니다. 다시 말하지만, 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.

      중요

      CA 인증서뿐만 아니라 CA의 전체 인증서 체인을 가져옵니다.

    3. ipa-server-install을 다시 실행합니다. 이번에는 새로 발급한 CA 인증서와 CA 체인 파일의 위치 및 이름을 지정합니다. 예를 들어 다음과 같습니다.

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  7. 이제 설치 스크립트가 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  8. 설치 스크립트는 DNS 리소스 레코드가 있는 파일을 생성합니다. /tmp/ipa.system.records.UFRPto.db 파일은 아래 예제 출력에 있습니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.

    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
    중요

    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.

추가 리소스

  • DNS 시스템에 추가해야 하는 DNS 리소스 레코드에 대한 자세한 내용은 외부 DNS 시스템의 IdM DNS 레코드를 참조하십시오.
  • ipa-server-install --external-ca 명령은 다음 오류로 인해 실패하는 경우가 있습니다.

    ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1
    Configuration of CA failed

    이 오류는 *_proxy 환경 변수가 설정될 때 발생합니다. 이 문제의 해결 방법은 Troubleshooting: 외부 CA 설치에 실패에서 참조하십시오.