2.9. Ansible 플레이북을 사용하여 외부 CA를 루트 CA로 IdM 서버 배포
Ansible 플레이북을 사용하여 외부 CA(인증 기관)를 루트 CA로 사용하여 IdM 서버를 배포하려면 이 절차를 완료합니다.
이 절차의 인벤토리 파일은 INI
형식을 사용합니다. 또는 YAML
또는 JSON
형식을 사용할 수 있습니다.
사전 요구 사항
다음 절차 중 하나를 선택하여 시나리오에 해당하는 매개변수를 설정했습니다.
-
/usr/share/doc/ansible-freeipa/README-server.md
파일에 설명된 대로ipaserver
역할과 함께 사용할 수 있는 변수를 읽고 이해했습니다.
절차
설치의 첫 번째 단계에 대한 지침이 포함된 플레이북 파일의 이름으로
ansible-playbook
명령을 실행합니다(예:install-server-step1.yml
).-i
옵션으로 인벤토리 파일을 지정합니다.$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml
v , -vv 또는
옵션을 사용하여 상세 정보 표시 수준을 지정합니다.-
vvCLI(명령줄 인터페이스)에서 Ansible 플레이북 스크립트의 출력을 볼 수 있습니다. 다음 출력은 스크립트가 0개 작업으로 성공적으로 실행된 것을 보여줍니다.
PLAY RECAP server.idm.example.com : ok=18 changed=10 unreachable=0 failed=0 skipped=21 rescued=0 ignored=0
-
컨트롤러에서
ipa.csr
인증서 서명 요청 파일을 찾아 외부 CA에 제출합니다. - 다음 단계의 플레이북에서 찾을 수 있도록 외부 CA가 컨트롤러 파일 시스템에 서명한 IdM CA 인증서를 배치합니다.
설치의 최종 단계(예:
install-server-step2.yml
)에 대한 지침이 포함된 플레이북 파일의 이름으로ansible-playbook
명령을 실행합니다.-i
옵션으로 인벤토리 파일을 지정합니다.$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml
다음 옵션 중 하나를 선택합니다.
IdM 배포에서 외부 DNS를 사용하는 경우:
/tmp/ipa.system. recordss.UFRPto.db 파일에 포함된 DNS 리소스 레코드
를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
중요기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
IdM 배포에서 통합 DNS를 사용하는 경우:
상위 도메인의 DNS 위임을 IdM DNS 도메인에 추가합니다. 예를 들어 IdM DNS 도메인이
idm.example.com
인 경우example.com
상위 도메인에 이름 서버(NS) 레코드를 추가합니다.중요IdM DNS 서버가 설치되면 이 단계를 반복합니다.
-
시간 서버의
_ntp._udp
서비스(SRV) 레코드를 IdM DNS에 추가합니다. IdM DNS에 새로 설치된 IdM 서버의 시간 서버에 SRV 레코드가 있으면 이 기본 IdM 서버에서 사용하는 시간 서버와 동기화되도록 향후 복제본 및 클라이언트 설치가 자동으로 구성됩니다.
추가 리소스
통합 CA를 사용하여 IdM 서버를 루트 CA로 배포하는 방법에 대한 자세한 내용은 Ansible 플레이북을 사용하여 통합 CA가 있는 IdM 서버배포를 참조하십시오.