Capítulo 2. Instalação de um servidor IdM: Com DNS integrado, com uma CA integrada como a CA raiz

A instalação de um novo servidor de Gerenciamento de Identidade (IdM) com DNS integrado tem as seguintes vantagens:

  • Você pode automatizar grande parte da manutenção e do gerenciamento de registros DNS usando ferramentas nativas da IdM. Por exemplo, os registros DNS SRV são criados automaticamente durante a configuração, e posteriormente são atualizados automaticamente.
  • Você pode ter uma conexão estável com o resto da Internet, instalando forwarders globais durante a instalação do servidor IdM. Os redirecionadores globais também são úteis para os fideicomissos com o Active Directory.
  • Você pode configurar uma zona reversa DNS para impedir que e-mails do seu domínio sejam considerados spam por servidores de e-mail fora do domínio IdM.

A instalação de IdM com DNS integrado tem certas limitações:

  • O IdM DNS não deve ser usado como um servidor DNS para fins gerais. Algumas das funções avançadas do DNS não são suportadas.

Este capítulo descreve como você pode instalar um novo servidor IdM com uma autoridade de certificado integrada (CA) como a CA raiz.

Nota

A configuração padrão para o comando ipa-server-install é uma CA integrada como a CA raiz. Se nenhuma opção CA, por exemplo --external-ca ou --ca-less for especificada, o servidor IdM é instalado com uma CA integrada.

2.1. Instalação interativa

Durante a instalação interativa utilizando o ipa-server-install é solicitado que você forneça a configuração básica do sistema, por exemplo, o domínio, a senha do administrador e a senha do Gerente de Diretório.

O script de instalação ipa-server-install cria um arquivo de log em /var/log/ipaserver-install.log. Se a instalação falhar, o log pode ajudá-lo a identificar o problema.

Procedimento

  1. Execute o utilitário ipa-server-install.

    # ipa-server-install
  2. O script solicita a configuração de um serviço DNS integrado. Digite yes.

    Você deseja configurar o DNS integrado (BIND)? [não] yes
  3. O script solicita várias configurações necessárias e oferece os valores padrão recomendados entre parênteses.

    • Para aceitar um valor padrão, pressione Enter.
    • Para fornecer um valor personalizado, digite o valor requerido.

      Server host name [server.example.com]:
      Please confirm the domain name [example.com]:
      Please provide a realm name [EXAMPLE.COM]:
      Atenção

      Planeje cuidadosamente estes nomes. Você não poderá alterá-los após a conclusão da instalação.

  4. Digite as senhas para o superusuário Directory Server (cn=Directory Manager) e para a conta de usuário do sistema de administração do Gerenciamento de Identidade (IdM) (admin).

    Directory Manager password:
    IPA admin password:
  5. O roteiro solicita encaminhadores DNS.

    Você quer configurar os encaminhadores DNS? [sim]:
    • Para configurar os encaminhadores DNS, digite yes, e depois siga as instruções na linha de comando. O processo de instalação adicionará os endereços IP do encaminhador ao arquivo /etc/named.conf no servidor IdM instalado.

      • Para as configurações padrão da política de encaminhamento, consulte a descrição --forward-policy na página de manual ipa-dns-install(1).
    • Se você não quiser usar o encaminhamento DNS, digite no.

      Sem encaminhadores DNS, seu ambiente será isolado e os nomes de outros domínios DNS em sua infra-estrutura não serão resolvidos.

  6. O script pede para verificar se algum registro DNS reverso (PTR) para os endereços IP associados com o servidor precisa ser configurado.

    Você quer procurar por zonas invertidas ausentes? [sim]:

    Se você executar a busca e forem descobertas zonas reversa ausentes, o script pergunta se você deve criar as zonas reversa junto com os registros PTR.

    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    Nota

    O uso de IdM para gerenciar zonas invertidas é opcional. Você pode usar um serviço DNS externo para este fim.

  7. Digite yes para confirmar a configuração do servidor.

    Continuar a configurar o sistema com estes valores? [não] yes
  8. O roteiro de instalação agora configura o servidor. Aguarde que a operação seja concluída.
  9. Após a conclusão do roteiro de instalação, atualize seus registros DNS da seguinte maneira:

    1. Adicionar a delegação DNS do domínio pai ao domínio DNS IdM. Por exemplo, se o domínio DNS do IdM for ipa.example.comAdicione um registro de servidor de nomes (NS) ao domínio pai example.com.

      Importante

      Repita esta etapa toda vez que um servidor DNS IdM for instalado.

    2. Adicione um registro do serviço _ntp._udp (SRV) para seu servidor de tempo ao seu DNS IdM. A presença do registro SRV para o servidor de tempo do servidor IdM recém-instalado no DNS da IdM garante que futuras réplicas e instalações do cliente sejam automaticamente configuradas para sincronizar com o servidor de tempo usado por este servidor IdM primário.