Capítulo 3. Instalação de um servidor IdM: Com DNS integrado, com uma CA externa como a CA raiz

A instalação de um novo servidor de Gerenciamento de Identidade (IdM) com DNS integrado tem as seguintes vantagens:

  • Você pode automatizar grande parte da manutenção e do gerenciamento de registros DNS usando ferramentas nativas da IdM. Por exemplo, os registros DNS SRV são criados automaticamente durante a configuração, e posteriormente são atualizados automaticamente.
  • Você pode ter uma conexão estável com o resto da Internet, instalando forwarders globais durante a instalação do servidor IdM. Os redirecionadores globais também são úteis para os fideicomissos com o Active Directory.
  • Você pode configurar uma zona reversa DNS para impedir que e-mails do seu domínio sejam considerados spam por servidores de e-mail fora do domínio IdM.

A instalação de IdM com DNS integrado tem certas limitações:

  • O IdM DNS não deve ser usado como um servidor DNS para fins gerais. Algumas das funções avançadas do DNS não são suportadas.

Este capítulo descreve como você pode instalar um novo servidor IdM com uma autoridade de certificação externa (CA) como a CA raiz.

3.1. Instalação interativa

Durante a instalação interativa utilizando o ipa-server-install é solicitado que você forneça a configuração básica do sistema, por exemplo, o domínio, a senha do administrador e a senha do Gerente de Diretório.

O script de instalação ipa-server-install cria um arquivo de log em /var/log/ipaserver-install.log. Se a instalação falhar, o log pode ajudá-lo a identificar o problema.

Este procedimento descreve como instalar um servidor:

  • com DNS integrado
  • com uma autoridade de certificação externa (CA) como a CA de raiz

Pré-requisitos

  • Decida sobre o tipo de CA externa que você utiliza (a opção --external-ca-type ). Veja a ipa-server-install(1) página de homem para detalhes.
  • Alternativamente, decidir sobre a opção --external-ca-profile que permite especificar um modelo alternativo do Active Directory Certificate Services (AD CS). Por exemplo, para especificar um identificador de objeto específico da instalação do AD CS:

    [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.4405632:1

Procedimento

  1. Execute o utilitário ipa-server-install com a opção --external-ca.

    # ipa-server-install --external-ca

    Se você estiver usando o Microsoft Certificate Services CA, use também a opção --external-ca-type. Para detalhes, consulte a página de manual ipa-server-install(1).

  2. O script solicita a configuração de um serviço DNS integrado. Digite yes ou no. Neste procedimento, estamos instalando um servidor com DNS integrado.

    Você deseja configurar o DNS integrado (BIND)? [não] yes
    Nota

    Se você deseja instalar um servidor sem DNS integrado, o script de instalação não solicitará a configuração do DNS como descrito nos passos abaixo. Consulte Capítulo 5, Instalação de um servidor IdM: Sem DNS integrado, com uma CA integrada como a CA raiz para obter detalhes sobre os passos para a instalação de um servidor sem DNS.

  3. O script solicita várias configurações necessárias e oferece os valores padrão recomendados entre parênteses.

    • Para aceitar um valor padrão, pressione Enter.
    • Para fornecer um valor personalizado, digite o valor requerido.

      Server host name [server.example.com]:
      Please confirm the domain name [example.com]:
      Please provide a realm name [EXAMPLE.COM]:
      Atenção

      Planeje cuidadosamente estes nomes. Você não poderá alterá-los após a conclusão da instalação.

  4. Digite as senhas para o superusuário Directory Server (cn=Directory Manager) e para a conta de usuário do sistema de administração do Gerenciamento de Identidade (IdM) (admin).

    Directory Manager password:
    IPA admin password:
  5. O roteiro solicita encaminhadores DNS.

    Você quer configurar os encaminhadores DNS? [sim]:
    • Para configurar os encaminhadores DNS, digite yes, e depois siga as instruções na linha de comando. O processo de instalação adicionará os endereços IP do encaminhador ao arquivo /etc/named.conf no servidor IdM instalado.

      • Para as configurações padrão da política de encaminhamento, consulte a descrição --forward-policy na página de manual ipa-dns-install(1).
    • Se você não quiser usar o encaminhamento DNS, digite no.

      Sem encaminhadores DNS, seu ambiente será isolado e os nomes de outros domínios DNS em sua infra-estrutura não serão resolvidos.

  6. O script pede para verificar se algum registro DNS reverso (PTR) para os endereços IP associados com o servidor precisa ser configurado.

    Você quer procurar por zonas invertidas ausentes? [sim]:

    Se você executar a busca e forem descobertas zonas reversa ausentes, o script pergunta se você deve criar as zonas reversa junto com os registros PTR.

    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    Nota

    O uso de IdM para gerenciar zonas invertidas é opcional. Você pode usar um serviço DNS externo para este fim.

  7. Digite yes para confirmar a configuração do servidor.

    Continuar a configurar o sistema com estes valores? [não] yes
  8. Durante a configuração da instância do Sistema de Certificado, o utilitário imprime o local do pedido de assinatura do certificado (CSR): /root/ipa.csr:

    ...
    
    Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
      [1/8]: creating certificate server user
      [2/8]: configuring certificate server instance
    The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
    /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

    Quando isto acontece:

    1. Submeter a RSE localizada em /root/ipa.csr à CA externa. O processo difere dependendo do serviço a ser usado como a CA externa.
    2. Recuperar o certificado emitido e a cadeia de certificados da CA para a CA emissora em um blob básico 64 codificado (um arquivo PEM ou um certificado Base_64 de uma CA Windows). Novamente, o processo difere para cada serviço de certificado. Normalmente, um link para download em uma página da web ou no e-mail de notificação permite ao administrador baixar todos os certificados exigidos.

      Importante

      Certifique-se de obter a cadeia completa de certificados para a CA, não apenas o certificado da CA.

    3. Execute ipa-server-install novamente, desta vez especificando os locais e nomes do certificado recém-emitido da CA e os arquivos da cadeia da CA. Por exemplo, o arquivo de corrente da CA:

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  9. O roteiro de instalação agora configura o servidor. Aguarde que a operação seja concluída.
  10. Após a conclusão do roteiro de instalação, atualize seus registros DNS da seguinte maneira:

    1. Adicionar a delegação DNS do domínio pai ao domínio DNS IdM. Por exemplo, se o domínio DNS do IdM for ipa.example.comAdicione um registro de servidor de nomes (NS) ao domínio pai example.com.

      Importante

      Repita esta etapa toda vez que um servidor DNS IdM for instalado.

    2. Adicione um registro do serviço _ntp._udp (SRV) para seu servidor de tempo ao seu DNS IdM. A presença do registro SRV para o servidor de tempo do servidor IdM recém-instalado no DNS da IdM garante que futuras réplicas e instalações do cliente sejam automaticamente configuradas para sincronizar com o servidor de tempo usado por este servidor IdM primário.
Nota

O comando ipa-server-install --external-ca às vezes pode falhar com o seguinte erro:

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

Esta falha ocorre quando as variáveis ambientais do *_proxy são definidas. Para uma solução do problema, ver Seção 3.2, “Solução de problemas: Falha na instalação externa da CA”.