26.2. Instalando a réplica do RHEL 8

  1. Liste quais funções de servidor estão presentes em seu ambiente RHEL 7:

    [root@rhel7 ~]# ipa server-role-find --status enabled
    ----------------------
    4 server roles matched
    ----------------------
      Server name: rhel7.example.com
      Role name: CA server
      Role status: enabled
    
      Server name: replica7.example.com
      Role name: DNS server
      Role status: enabled
    
      Server name: rhel7.example.com
      Role name: DNS server
      Role status: enabled
    
      Server name: rhel7.example.com
      Role name: NTP server
      Role status: enabled
    [... output truncated ...]
  2. Instale o servidor IdM de Gerenciamento de Identidade em rhel8.example.com como uma réplica do servidor IdM RHEL 7, incluindo todas as funções do servidor presentes em seu rhel7.example.com, exceto a função de servidor NTP. Para instalar as funções a partir do exemplo acima, use estas opções com o comando ipa-replica-install:

    • --setup-ca to set up the Certificate System component
    • --setup-dns e --forwarder para configurar um servidor DNS integrado e definir um encaminhador para cuidar de consultas DNS que vão para fora do domínio IdM

      Nota

      Além disso, se sua implantação de IdM estiver em uma relação de confiança com o Active Directory (AD), adicione a opção --setup-adtrust ao comando ipa-replica-install para configurar a capacidade de confiança do AD em rhel8.example.com.

      Para configurar um servidor IdM com o endereço ip 192.0.2.1 que utiliza um encaminhador com o endereço ip 192.0.2.20:

      [root@rhel8 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20

    Você não precisa especificar o servidor RHEL 7 IdM porque se o DNS estiver funcionando corretamente, rhel8.example.com o encontrará usando o DNS autodiscovery.

  3. Após a conclusão da instalação, verifique se os serviços da IdM estão funcionando em rhel8.example.com:

    [root@rhel8 ~]# ipactl status
    Directory Service: RUNNING
    [... output truncated ...]
    ipa: INFO: The ipactl command was successful
  4. Verifique se rhel7.example.com e rhel8.example.com estão ambos configurados como servidores da autoridade certificadora (CA):

    [root@rhel8 ~]$ kinit admin
    [root@rhel8 ~]$ ipa-csreplica-manage list
    rhel7.example.com: master
    rhel8.example.com: master
  5. Opcionalmente, para exibir detalhes sobre o acordo de replicação entre rhel7.example.com e rhel8.example.com:

    [root@rhel8 ~]# ipa-csreplica-manage list --verbose rhel8.example.com
    Directory Manager password:
    
    rhel7.example.com
    last init status: None
    last init ended: 1970-01-01 00:00:00+00:00
    last update status: Error (0) Replica acquired successfully: Incremental update succeeded
    last update ended: 2019-02-13 13:55:13+00:00
  6. Opcionalmente, adicione um registro do serviço _ntp._udp (SRV) para o servidor de tempo NTP ao DNS do servidor IdM recém-instalado, rhel8.example.com. A presença do registro SRV para o servidor de tempo rhel8.example.com no DNS da IdM garante que futuras réplicas e instalações do cliente sejam automaticamente configuradas para sincronizar com o servidor de tempo utilizado pelo novo servidor da IdM CA que combina as funções do servidor de renovação CA e do servidor de geração CRL, rhel8.example.com.