第 3 章 安装 IdM 服务器:带有集成的 DNS,带有外部 CA 作为 root CA
安装带有集成 DNS 的新的身份管理(IdM)服务器有以下优点:
- 您可以使用原生 IdM 工具自动执行大多数维护和 DNS 记录管理。例如:在设置过程中自动创建 DNS SRV 记录,之后会自动更新。
- 您可以在安装 IdM 服务器的过程中为稳定的外部互联网连接配置全局转发器。全局转发器对 Active Directory 的信任也很有用。
- 您可以设置 DNS 反向区,以防止来自您的域的电子邮件被 IdM 域之外的电子邮件服务器视为垃圾邮件。
安装带有集成 DNS 的 IdM 有一定的限制:
- IdM DNS 并不意味着用作通用的 DNS 服务器。不支持某些高级 DNS 功能。如需更多信息,请参阅 IdM 服务器 中提供的 DNS 服务。
本章描述了如何安装具有外部证书颁发机构(CA)作为根CA的新 IdM 服务器。
3.1. 交互式安装
在使用 ipa-server-install 工具进行交互式安装过程中,您需要提供系统的基本配置,如 realm、管理员的密码和目录管理器的密码。
ipa-server-install 安装脚本在 /var/log/ipaserver-install.log 中创建一个日志文件。如果安装失败,日志可帮助您辨别问题。
按照以下流程安装服务器:
- 带有集成的 DNS
- 使用外部证书颁发机构(CA)作为 root CA
先决条件
-
您已确定了要通过
--external-ca-type选项指定的外部 CA 类型。详情请查看ipa-server-install(1)手册页。 如果您使用 Microsoft Certificate Services 证书颁发机构(MS CS CA)作为外部 CA:则您已确定要通过
--external-ca-profile选项指定的证书配置文件或模板。默认情况下使用SubCA模板。有关
--external-ca-type和--external-ca-profile选项的更多信息,请参阅 安装外部 CA 作为根 CA 的 IdM CA 时所使用的选项。
步骤
使用
--external-ca选项来运行 ipa-server-install 工具。# ipa-server-install --external-ca如果您使用 Microsoft 证书服务(MS CS) CA,也使用
--external-ca-type选项,可以选择使用--external-ca-profile选项:[root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default如果您没有使用 MS CS 为 IdM CA 生成签名证书,则不需要其他选项:
# ipa-server-install --external-ca
此脚本提示配置集成的 DNS 服务。输入
yes或no。在此过程中,我们安装了带有集成 DNS 的服务器。Do you want to configure integrated DNS (BIND)? [no]:
yes注意如果您要安装没有集成 DNS 的服务器,安装脚本将不会提示您进行 DNS 配置,如下面步骤所述。如需了解安装没有 DNS 的服务器的步骤的详情,请参阅 第 5 章 安装 IdM 服务器:没有集成的 DNS,只有集成的 CA 作为 root CA。
该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
- 要接受默认值,请按 Enter 键。
要提供自定义值,请输入所需的值。
Server host name [
server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:警告仔细规划这些名称。安装完成后您将无法更改它们。
输入目录服务器超级用户(
cn=Directory Manager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。Directory Manager password: IPA admin password:
脚本提示每台服务器的 DNS 转发器。
Do you want to configure DNS forwarders? [yes]:
要配置每台服务器的 DNS 转发器,请输入
yes,然后按照命令行中的说明操作。安装过程会将转发器 IP 地址添加到 IdM LDAP。-
有关正向解析策略的默认设置,请查看 ipa-dns-install(1)手册页中的
--forward-policy描述。
-
有关正向解析策略的默认设置,请查看 ipa-dns-install(1)手册页中的
如果您不想使用 DNS 正向解析,请输入
no。如果没有 DNS 转发器,您 IdM 域中的主机将不能解析来自基础架构中其他的、内部的、DNS 域的名称。主机将只剩下公共 DNS 服务器来解析其 DNS 查询。
脚本会提示检查是否需要配置与服务器关联的 IP 地址的任何 DNS 反向(PTR)记录。
Do you want to search for missing reverse zones? [yes]:
如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及 PTR 记录。
Do you want to create reverse zone for IP 192.0.2.1 [yes]: Please specify the reverse zone name [2.0.192.in-addr.arpa.]: Using reverse zone(s) 2.0.192.in-addr.arpa.
注意使用 IdM 管理反向区是可选的。您可以改为使用外部 DNS 服务来实现这一目的。
输入
yes以确认服务器配置。Continue to configure the system with these values? [no]:
yes在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:
/root/ipa.csr:... Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds [1/8]: creating certificate server user [2/8]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
当发生这种情况时:
-
将位于
/root/ipa.csr中的 CSR 提交给外部 CA。这个过程根据要用作外部 CA 的服务的不同而有所不同。 在基础 64 编码 blob 中检索颁发的证书和颁发 CA 的 CA 证书链(Windows CA 的 PEM 文件或 Base_64 证书)。同样,不同的证书服务的进程会有所不同。通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要确保获取 CA 的完整证书链,而不只是 CA 证书。
再次运行
ipa-server-install,这次指定新发布的 CA 证书和 CA 链文件的位置和名称。例如:# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
-
将位于
- 安装脚本现在配置服务器。等待操作完成。
安装脚本完成后,使用以下方法更新您的 DNS 记录:
将父域中的 DNS 委托程序添加到 IdM DNS 域。例如,如果 IdM DNS 域是
idm.example.com,请在example.com父域中添加一个名字服务器(NS)记录。重要每次安装 IdM DNS 服务器后都会重复这个步骤。
-
将时间服务器的
_ntp._udp服务(SRV)记录添加到您的 IdM DNS。IdM DNS 中新安装的 IdM 服务器的时间服务器的 SRV 记录可确保将来的副本和客户端安装会自动配置为与此主 IdM 服务器使用的时间服务器同步。
ipa-server-install --external-ca 命令有时可能会失败,并显示以下错误:
ipa : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed
当设置 *_proxy 环境变量时,会发生此失败。有关此问题的解决方案,请参阅 故障排除:外部 CA 安装失败。
