RedHatEnterpriseLinux8
安装身份管理
使用身份管理
LastUpdated:2022-01-22
RedHatEnterpriseLinux8安装身份管理
使用身份管理
Enteryourfirstnamehere.Enteryoursurnamehere.Enteranisation'snamehere.Enteranisationaldivisionhere.Enteryouremailaddresshere.
法律通告
Copyright©2021|YouneedtochangetheHOLDERentityintheenUS/Installing_Identity_Management.entfile|.
ThetextofandillustrationsinthisdocumentarelicensedbyRedHatunderaCreativeCommonsAttribution–ShareAlike3.0Unportedlicense("CC-BY-SA").AnexplanationofCC-BY-SAisavailableat/licenses/by-sa/3.0/.InordancewithCC-BY-SA,ifyoudistributethisdocumentoranadaptationofit,youmustprovidetheURLfortheoriginalversion.
RedHat,asthelicensorofthisdocument,waivestherighttoenforce,andagreesnottoassert,Section4dofCC-BY-SAtothefullestextentpermittedbyapplicablelaw.
RedHat,RedHatEnterpriseLinux,theShadowmanlogo,theRedHatlogo,JBoss,OpenShift,Fedora,theInfinitylogo,andRHCEaretrademarksofRedHat,Inc.,registeredintheUnitedStatesandothercountries.
Linux®istheregisteredtrademarkofLinusTorvaldsintheUnitedStatesandothercountries.
Java®isaregisteredtrademarkofOracleand/oritsaffiliates.
XFS®isatrademarkofSiliconGraphicsInternationalCorp.oritssubsidiariesintheUnitedStatesand/orothercountries.
MySQL®isaregisteredtrademarkofMySQLABintheUnitedStates,theEuropeanUnionandothercountries.
Node.js®isanofficialtrademarkofJoyent.RedHatisnotformallyrelatedtoorendorsedbytheofficialJoyentNode.jsopensourcemercialproject.
TheOpenStack®WordMarkandOpenStacklogoareeitherregisteredtrademarks/servicemarksortrademarks/servicemarksoftheOpenStackFoundation,intheUnitedStatesandothercountriesandareusedwiththeOpenStackFoundation'spermission.Wearenotaffiliatedwith,endorsedorsponsoredbytheOpenStackFoundation,orthemunity.
Allothertrademarksarethepropertyoftheirrespectiveowners.
摘要
本文档集合提供了关于如何在RedHatEnterpriseLinux8(RHEL)上安装身份管理以及如何从RHEL7升级到RHEL8的说明。
目录 目录 使...开..源..包..含..更..多................................................................................................7............. 对...红..帽..文..档..提..供..反..馈............................................................................................8............. 部...分..I...安..装..身..份..管..理............................................................................................9............. 第...1.章...为...ID..M..服..务..器..安...装..准..备..系..统.............................................................................1.0............. 1.1.安装IDM服务器时的授权要求 10 1.2.硬件建议 10 1.3.IDM的自定义配置要求 10 1.3.1.IdM中的IPv6要求 10 1.3.2.支持IdM中的加密类型 10 1.3.3.FIPS合规性 11 1.4.IDM的时间服务要求 12 1.4.1.IdM如何使用chronyd进行同步 12 1.4.2.IdM安装命令的NTP配置选项列表 13 1.4.3.确保IdM可以引用您的NTP时间服务器 13 1.4.4.其它资源 14 1.5.IDM的主机名和DNS要求 14 1.6.IDM的端口要求 17 打开所需端口 18 1.7.安装IDM服务器所需的软件包 18 第...2..章..安..装...I.D.M...服..务..器..:..使..用..集...成..的..D..N..S.,..集..成..的...C..A.作...为..R..O.O..T..C.A..........................................2..1............ 2.1.交互式安装 21 2.2.非互动安装 23 第...3..章..安...装..I.D.M...服..务..器..:..具..有..集...成..的..D..N..S.,..具..有..外..部...C..A..作..为..根..C..A............................................2.5............. 3.1.交互式安装 25 3.2.故障排除:外部CA安装失败 28 这意味着: 28 解决此问题: 28 第...4..章..安...装..I.D..M..服..务..器..:..使..用...集..成..的...D.N..S.,.没..有..C..A............................................................3.0............. 4.1.安装没有CA的IDM服务器所需的证书 30 4.2.交互式安装 31 第...5..章..安..装...I.D.M...服..务..器..:...在..不..集..成...D.N..S..的..情..况..,..将..集...成..的..C..A..作..为...R.O..O..T.C..A..................................3.4............. 5.1.交互式安装 34 5.2.非互动安装 35 第...6..章..安...装..I.D.M...服..务..器..:...在..不..集..成...D.N..S..的..情..况..下..,..使...用..外..部...C.A..作..为...R.O..O..T..C.A................................3.7............. 6.1.交互式安装 37 6.2.非互动安装 39 第...7..章..I.D..M..服..务..器..安..装...故..障..排..除...............................................................................4.2............. 7.1.查看IDM服务器安装错误日志 42 7.2.检查IDMCA安装错误 43 7.3.删除部分IDM服务器安装 44 7.4.其它资源 45 第...8..章..卸...载..I.D.M...服..务..器.......................................................................................4.6............. 第...9..章..重...命..名..I.D..M..服..务..器.....................................................................................4.7.............
1 RedHatEnterpriseLinux8安装身份管理 第...1.0..章..为...I.D.M..客...户..端..安..装..准..备..系..统............................................................................4.8............. 10.1.IDM客户端的DNS要求 48 其它资源 48 10.2.IDM客户端的端口要求 48 10.3.IDM客户端的IPV6要求 48 10.4.安装IDM客户端所需的软件包 48 10.4.1.从idm:client流安装ipa-client软件包 48 10.4.2.从idm:DL1流安装ipa-client软件包 49 第...1.1.章...安..装..I.D..M..客..户..端..:...基..本..情..境............................................................................5.0............. 11.1.先决条件 50 11.2.使用用户凭证安装客户端:交互式安装 50 11.3.使用一次性密码安装客户端:交互式安装 51 11.4.安装客户端:非互动安装 53 11.5.安装客户端后删除前IDM配置 54 11.6.测试IDM客户端 55 11.7.在IDM客户端安装过程中执行的连接 55 11.8.IDM客户端在安装后部署过程中与服务器的通信 55 11.8.1.SSSD通信模式 56 11.8.2.certmonger通讯特征 57 第...1.2.章...使..用...K.I.C.K..S.T..A.R..T.安..装...I.D.M...客..户..端.....................................................................5.9............. 12.1.使用KICKSTART安装客户端 59 12.2.用于客户端安装的KICKSTART文件 59 12.3.测试IDM客户端 60 第...1.3..章..I.D.M...客..户..端..安..装..故..障...排..除..............................................................................6..1............ 13.1.检查IDM客户端安装错误 61 13.2.解决客户端安装无法更新DNS记录时的问题 61 13.3.解决客户端安装无法加入IDMKERBEROS域时的问题 62 13.4.其它资源 63 第...1.4..章..重..新..注...册..I.D..M..客..户..端..................................................................................6.4............. 14.1.IDM中的客户端重新注册 64 14.1.1.客户端重新注册过程中会发生什么 64 14.2.使用用户凭证重新注册客户端:交互式重新注册 64 14.3.使用CLIENTKEYTAB:NON-INTERACTIVEREENROLLMENT重新注册客户端 65 14.4.测试IDM客户端 65 第...1.5.章...卸..载...I.D.M..客...户..端......................................................................................6.6............. 15.1.卸载IDM客户端 66 15.2.卸载IDM客户端:在以前的安装后执行额外的步骤 66 第...1.6..章..重..命..名...I.D.M...客..户..端..系..统................................................................................6.8............. 16.1.先决条件 68 16.2.卸载IDM客户端 68 16.3.卸载IDM客户端:在以前的安装后执行额外的步骤 69 16.4.重命名主机系统 70 16.5.重新安装IDM客户端 70 16.6.重新添加服务、重新生成证书和重新添加主机组 71 第...1.7.章...为...ID..M..副..本...安..装..准..备..系..统..............................................................................7.2............. 17.1.副本版本要求 72 17.2.显示IDM软件版本的方法 72 17.3.授权在IDM客户端上安装副本 73
2 目录 17.4.授权在未注册到IDM的系统上安装副本 74 第...1.8..章..安..装...I.D.M..副...本........................................................................................7.6............. 18.1.安装带有集成的DNS和CA的IDM副本 76 18.2.安装带有集成DNS的IDM副本 77 18.3.使用CA安装IDM副本 78 18.4.在没有CA的情况下安装IDM副本 79 18.5.安装IDM隐藏的副本 80 18.6.测试IDM副本 80 18.7.在IDM副本安装过程中执行的连接 80 第...1.9..章..I.D.M...副..本..安..装..故..障...排..除................................................................................8.2............. 19.1.查看IDM副本安装错误 82 19.2.检查IDMCA安装错误 83 19.3.删除部分IDM副本安装 85 19.4.解决无效凭证错误 86 19.5.其它资源 87 第...2.0..章...卸..载...ID..M..副..本........................................................................................8.8............. 第...2.1.章...安..装..并..运...行..I.D.M...H.E..A.L..T.H..C.H..E.C..K.工...具.................................................................8.9............. 21.1.IDM中的HEALTHCHECK 89 21.1.1.模块是独立的 89 21.1.2.两种输出格式 89 21.1.3.结果 89 21.2.安装IDMHEALTHCHECK 90 21.3.运行IDMHEALTHCHECK 90 21.4.其它资源 90 第...2.2..章...使..用..A..N.S..IB..L.E..P..L.A.Y..B.O..O..K..安..装..身..份..管..理..服...务..器.......................................................9.2............. 22.1.ANSIBLE及其安装IDM的优点 92 使用Ansible安装IdM的优点 92 22.2.使用ANSIBLEPLAYBOOK安装IDM服务器 92 概述 92 22.3.安装ANSIBLE-FREEIPA软件包 92 22.4.在文件系统中的ANSIBLE角色位置 93 22.5.使用ANSIBLEPLAYBOOK将集成CA的IDM服务器部署为ROOTCA 94 22.5.1.使用集成的CA作为rootCA设置部署的参数 94 22.5.2.使用Ansibleplaybook将集成CA的IdM服务器部署为rootCA 95 22.6.使用ANSIBLEPLAYBOOK将外部CA部署IDM服务器作为ROOTCA 96 22.6.1.使用外部CA作为rootCA设置部署的参数 96 22.6.2.使用Ansibleplaybook将外部CA部署IdM服务器作为rootCA 98 第...2.3..章...使..用..A..N..S.I.B.L.E..P..L.A.Y..B.O..O..K..安..装..身..份..管..理..副...本.........................................................9.9............. 23.1.ANSIBLE及其安装IDM的优点 99 使用Ansible安装IdM的优点 99 23.2.使用ANSIBLEPLAYBOOK安装IDM副本 99 概述 99 23.3.安装ANSIBLE-FREEIPA软件包 100 23.4.在文件系统中的ANSIBLE角色位置 100 23.5.设置IDM副本部署的参数 101 23.5.1.指定用于安装IdM副本的基础、服务器和客户端变量 101 23.5.2.使用Ansibleplaybook指定用于安装IdM副本的凭证 103 23.6.使用ANSIBLEPLAYBOOK部署IDM副本 104
3 RedHatEnterpriseLinux8安装身份管理 第...2.4..章...使..用...A.N..S.I.B.L.E..P..L.A..Y.B.O..O..K..安..装..身..份..管..理...客..户..端......................................................1.0.6............. 24.1.ANSIBLE及其安装IDM的优点 106 使用Ansible安装IdM的优点 106 24.2.使用ANSIBLEPLAYBOOK安装IDM客户端 106 概述 106 24.3.安装ANSIBLE-FREEIPA软件包 107 24.4.在文件系统中的ANSIBLE角色位置 107 24.5.设置IDM客户端部署的参数 108 24.5.1.为自动发现客户端安装模式设置清单文件的参数 108 24.5.2.当在客户端安装过程中无法自动发现时设置清单文件的参数 110 24.5.3.检查install-client.yml文件中的参数 112 24.5.4.使用Ansibleplaybook进行IdM客户端注册的授权选项 112 24.6.使用ANSIBLEPLAYBOOK部署IDM客户端 113 24.7.ANSIBLE安装后测试身份管理客户端 114 24.8.使用ANSIBLEPLAYBOOK卸载IDM客户端 114 部...分..I.I.集..成...I.D.M...和..A..D.......................................................................................11.6............. 第...2.5..章...在..I.D.M...和..A..D..间..安..装..信..任..............................................................................11.7............. 25.1.WINDOWS服务器支持的版本 117 25.2.信任如何工作 117 25.3.AD管理权利 118 25.4.确保支持AD和RHEL中的通用加密类型 118 25.5.IDM和AD间的通信所需的端口 119 25.6.为信任配置DNS和域设置 121 25.6.1.唯一的主DNS域 122 25.6.2.在IdMWebUI中配置DNS区域 123 25.6.3.在AD中配置DNS转发 125 25.6.4.验证DNS配置 126 25.7.设置信任 127 25.7.1.为信任准备IdM服务器 127 25.7.2.使用命令行设置信任协议 129 25.7.3.在IdMWebUI中设置信任协议 129 25.7.4.验证Kerberos配置 131 25.7.5.验证IdM上的信任配置 132 25.7.6.验证AD上的信任配置 132 25.7.7.创建信任代理 134 25.8.使用命令行删除信任 135 25.9.使用IDMWEBUI删除信任 135 部...分..I.II...将...ID..M..从...R.H..E.L..7..迁..移..到...R.H..E.L..8.,..并..保..持...最..新........................................................1.3.7............. 第...2.6..章...将..I.D..M..环..境..从...R.H..E.L..7..服..务..器..迁..移..到...R.H..E.L..8..服..务..器...................................................1.3.8............. 26.1.将IDM从RHEL7迁移到8的先决条件 139 26.2.安装RHEL8副本 140 26.3.为RHEL8IDM服务器分配CA续订服务器角色 141 26.4.在RHEL7IDMCA服务器中停止CRL生成 142 26.5.在新的RHEL8IDMCA服务器中启动CRL生成 142 26.6.停止并退出RHEL7服务器 143 第...2.7..章...更..新..和..降..级...ID..M.....................................................................................1.4.5............. 第...2.8..章...将..I.D..M..客..户..端..从...R.H..E.L..7..升..级..到...R.H..E.L..8.............................................................1.4.6............. 28.1.升级到RHEL8后更新SSSD配置 146 28.1.1.从本地ID提供程序切换到文件ID提供程序 146
4 28.1.2.删除已弃用的选项28.1.3.为sudo规则启用通配符匹配28.2.RHEL8中删除的SSSD功能列表28.3.其它资源 目录 147147148148
5 RedHatEnterpriseLinux8安装身份管理
6 使开源包含更多 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。
我们从这四个术语开始:master、slave、blacklist和whitelist。
这些更改将在即将发行的几个发行本中逐渐实施。
如需了解更多详细信息,请参阅CTOChrisWright信息。
在身份管理中,计划中的术语变化包括: 使用blocklist替换blacklist使用allowlist替换whitelist使用secondary替换slavemaster会根据上下文被替换为其他更适当的术语: 使用IdMserver替换IdMmaster使用CArenewalserver替换CArenewalmaster使用CRLpublisherserver替换CRLmaster使用multi-supplier替换multi-master
7 RedHatEnterpriseLinux8安装身份管理 对红帽文档提供反馈 我们感谢您对文档提供反馈信息。
请让我们了解如何改进文档。
要做到这一点:关于特定内容的简单评论:
1.请确定您使用Multi-pageHTML格式查看文档。
另外,确定Feedback按钮出现在文档页的右上方。
2.用鼠标指针高亮显示您想评论的文本部分。
3.点在高亮文本上弹出的AddFeedback。
4.按照显示的步骤操作。
要提交更复杂的反馈,请创建一个Bugzillaticket:
1.进入Bugzilla网站。
2.在Component中选择Documentation。
3.在Description中输入您要提供的信息。
包括文档相关部分的链接。
4.点SubmitBug。
8 部分
I.安装身份管理 部分
I.安装身份管理
9 RedHatEnterpriseLinux8安装身份管理 第1章为IDM服务器安装准备系统 以下章节列出了安装身份管理(IdM)服务器的要求。
在安装前,请确定您的系统满足这些要求。
1.1.安装IDM服务器时的授权要求 您需要root特权才能在主机上安装身份管理(IdM)服务器。
1.2.硬件建议 对于性能调整,RAM是最重要的硬件。
请确定您的系统有足够可用RAM。
典型的RAM要求是:对于10,000个用户和100个组:至少4GBRAM和4GB交换(swap)空间对于100,000个用户和50,000个组:至少16GBRAM和4GBswap空间 对于较大的部署,增加RAM比增加磁盘空间更为有效,因为许多数据都存储在缓存中。
通常,对于大型部署,添加更多RAM会因为有更多的缓存使系统具有更好的性能。
注意基本用户条目或带有证书的简单主机条目大约是5-10kB大小。
1.3.IDM的自定义配置要求 在干净的系统上安装身份管理(IdM)服务器,无需为DNS、Kerberos、Apache或DirectoryServer等服务进行任何自定义配置。
IdM服务器安装覆盖了系统文件来设置IdM域。
IdM将原始系统文件备份到/var/lib/ipa/sysrestore/。
当在生命周期结束时卸载IdM服务器时,会恢复这些文件。
1.3.1.IdM中的IPv6要求 IdM系统必须在内核中启用IPv6协议。
如果禁用IPv6,IdM服务使用的CLDAP插件将无法初始化。
注意不必在网络中启用IPv6。
1.3.2.支持IdM中的加密类型 RedHatEnterpriseLinux(RHEL)使用Kerberos协议版本
5,它支持加密类型,如高级加密标准(AES)、Camellia和数据加密标准(DES)。
支持的加密类型列表虽然IdM服务器和客户端上的Kerberos库可能会支持更多的加密类型,但IdMKerberos分发中心(KDC)只支持以下加密类型: aes256-cts:normalaes256-cts:special(默认)aes128-cts:normal 10 第1章为IDM服务器安装准备系统 aes128-cts:special(默认)aes128-sha2:normalaes128-sha2:specialaes256-sha2:normalaes256-sha2:specialcamellia128-cts-cmac:normalcamellia128-cts-cmac:specialcamellia256-cts-cmac:normalcamellia256-cts-cmac:special默认禁用RC4加密类型RHEL8中已弃用并默认禁用以下RC4加密类型,因为它们被视为不如较新的AES-128和AES-256加密类型安全:arcfour-hmac:normalarcfour-hmac:special有关手动启用RC4支持以与遗留的ActiveDirectory环境兼容的更多信息,请参阅确保支持AD和RHEL中的通用加密类型。
删除了对DES和3DES加密的支持由于安全考虑,在RHEL7中弃用了对DES算法的支持。
RHEL8.3.0中最近重新构建的Kerberos软件包从RHEL8中删除了对single-DES(DES)和triple-DES(3DES)加密类型的支持。
注意标准RHEL8IdM安装默认不使用DES或3DES加密类型,且不受Kerberos升级的影响。
如果您手动配置任何服务或用户只使用DES或3DES加密(例如,对于遗留的客户端),您可能会在升级到最新的Kerberos软件包后遇到服务中断,例如: Kerberos验证错误unknownenctype加密错误带有DES加密数据库主密钥(K/M)的KDC无法启动红帽建议不要在您的环境中使用DES或者3DES加密。
注意如果您将环境配置成了使用DES和3DES加密类型,则只需要禁用它们。
1.3.3.FIPS合规性 11 RedHatEnterpriseLinux8安装身份管理 在RHEL8.3.0或更高版本中,您可以在启用了联邦信息处理标准(FIPS)模式的系统上安装新的IdM服务器或副本。
要使用FIPS安装IdM,首先在主机上启用FIPS模式,然后安装IdM。
IdM安装脚本会检测是否启用了FIPS,并将IdM配置为只使用与FIPS140-2兼容的加密类型。
aes256-cts:normalaes256-cts:specialaes128-cts:normalaes128-cts:specialaes128-sha2:normalaes128-sha2:specialaes256-sha2:normalaes256-sha2:special要使IdM环境符合FIPS,所有的IdM服务器和副本都必须启用FIPS模式。
支持启用了FIPS模式的跨林信任要在启用了FIPS模式的同时建立与ActiveDirectory(AD)域的跨林信任,您必须满足以下要求:IdM服务器位于RHEL8.4.0或更高版本中。
在设置信任时,您必须使用AD管理帐户验证。
在启用FIPS模式时,您无法使用共享secret建立信任。
重要RADIUS身份验证不兼容FIPS。
如果您需要RADIUS身份验证,不要在启用了FIPS模式的服务器中安装IdM。
其它资源要在RHEL操作系统中启用FIPS模式,请参阅安全强化指南中的将系统切换到FIPS模式。
有关FIPS140-2的详情,请查看美国标准与技术研究院(NIST)网站上的加密模块的安全要求。
1.4.IDM的时间服务要求 以下章节讨论了使用chronyd来使IdM主机与中央时间源同步:IdM如何使用chronyd进行同步IdM安装命令的NTP配置选项列表确保IdM可以引用您的NTP时间服务器 1.4.1.IdM如何使用chronyd进行同步 Kerberos是IdM中的底层验证机制,使用时间戳作为其协议的一部分。
如果IdM客户端的系统时间与密 12 第1章为IDM服务器安装准备系统 Kerberos是IdM中的底层验证机制,使用时间戳作为其协议的一部分。
如果IdM客户端的系统时间与密钥发布中心(KDC)的系统时间相差超过5分钟,则Kerberos身份验证会失败。
为确保IdM服务器和客户端与中央时间源同步,IdM安装脚本会自动配置chronyd网络时间协议(NTP)客户端软件。
如果您没有将任何NTP选项传给IdM安装命令,安装程序将搜索指向网络中NTP服务器的_ntp._udpDNS服务(SRV)记录,并使用该IP地址配置chrony。
如果您没有任何_ntp._udpSRV记录,chronyd会使用chrony软件包提供的配置。
注意 因为ntpd在RHEL8中已弃用,所以IdM服务器不再配置为NetworkTimeProtocol(NTP)服务器,且只配置为NTP客户端。
RHEL7NTP服务器IdM服务器角色在RHEL8中也已弃用。
1.4.2.IdM安装命令的NTP配置选项列表 您可以在任何IdM安装命令(ipa-server-install、ipa-replica-install、ipa-client-install)中指定以下选项来在设置过程中配置chronyd客户端软件。
表1.1.IdM安装命令的NTP配置选项列表 选项 行为 --ntp-server--ntp-pool-
N,--no-ntp 使用它指定一个NTP服务器。
您可以多次使用它来指定多个服务器。
使用它指定一个解析为主机名的多个NTP服务器池。
不要配置、启动或启用chronyd。
1.4.3.确保IdM可以引用您的NTP时间服务器 此流程验证您是否具有必要的配置,以便IdM能够与您的网络时间协议(NTP)时间服务器同步。
先决条件您已在环境中配置了NTP时间服务器。
在本例中,之前配置的时间服务器的主机名为。
流程
1.对您环境中的NTP服务器执行DNS服务(SRV)记录搜索。
[user@server~]$dig+short-tSRV_ntp._0100123.2.如果之前的dig搜索没有返回您的时间服务器,请添加一个指向时间服务器123端口的_ntp._udpSRV记录。
这个过程取决于您的DNS解决方案。
验证步骤 在您执行搜索_ntp._udpSRV记录时,DNS验证您的时间服务器的123端口是否返回一条记 13 RedHatEnterpriseLinux8安装身份管理 在您执行搜索_ntp._udpSRV记录时,DNS验证您的时间服务器的123端口是否返回一条记录。
[user@server~]$dig+short-tSRV_ntp._0100123. 1.4.4.其它资源 NTP的实现使用Chrony套件配置NTP 1.5.IDM的主机名和DNS要求 本节列出了服务器和副本系统的主机名和DNS要求。
它还显示如何验证系统是否满足要求。
本节中的要求适用于所有身份管理(IdM)服务器、那些带有集成DNS的服务器以及没有集成DNS的服务器。
警告DNS记录对于几乎所有IdM域功能至关重要,包括运行LDAP目录服务、Kerberos和ActiveDirectory集成。
请非常小心,并确保:您有一个经过测试且可以正常工作的DNS服务该服务已被正确配置这个要求适用于带有和不带有集成DNS的IdM服务器。
验证服务器主机名主机名必须是完全限定域名,如。
完全限定域名必须满足以下条件:它是一个有效的DNS名称,即只允许数字、字母字符和连字符(-)。
主机名中的其他字符(如下划线(_))会导致DNS失败。
都是小写。
不允许使用大写字母。
它无法解析回送地址。
它必须解析系统的公共IP地址,而不是127.0.0.1。
要验证主机名,在您要安装的系统中使用hostname工具:#hostnamehostname的输出不能是localhost或localhost6。
验证转发和反向DNS配置 14 第1章为IDM服务器安装准备系统
1.获取服务器的IP地址。
a.ipaddrshow命令显示IPv4和IPv6地址。
在以下示例中,相关的IPv6地址为2001:DB8::1111,因为其范围是全局的: [root@server~]#ipaddrshow... 2:eth0:mtu1500
stateUPgroupdefaultqlen1000
link/ether00:1a:4a:10:4e:33brdff:ff:ff:ff:ff:ff192.0.2.1/24brd192.0.2.255scopeglobaldynamiceth0valid_lft106694secpreferred_lft106694sec62001:DB8::1111/32scopeglobaldynamic
valid_lft2591521secpreferred_lft604321sec
6fe80::56ee:75ff:fe2b:def6/64scopelink
valid_lftforeverpreferred_lftforever
...
qdisc
pfifo_fast
2.使用dig工具证正向DNS配置。
a.运行dig+shortA命令。
返回的IPv4地址必须与ipaddrshow返回的IP地址匹配: [root@server~]#dig+shortA192.0.2.1 b.运行dig+shortAAAA命令。
如果返回一个地址,它必须与ipaddrshow返回的IPv6地址匹配: [root@server~]#dig+shortAAAA2001:DB8::1111 注意 如果dig没有返回AAAA记录的任何输出,那么这并不表示配置不正确。
没有输出只表示系统在DNS中没有配置IPv6地址。
如果您不打算在网络中使用IPv6协议,则可以继续进行安装。
3.验证反向DNS配置(PTR记录)。
使用dig工具并添加IP地址。
如果以下命令显示不同的主机名或没有主机名,则反向DNS配置不正确。
a.运行dig+short-xIPv4_address命令。
输出必须显示服务器主机名。
例如: [root@server~]#dig+short-x192.0.2.1 b.如果上一步中的dig+short-xAAAA命令返回IPv6地址,请使用dig查询IPv6地址。
输出必须显示服务器主机名。
例如: [root@server~]#dig+short-x2001:DB8::1111 注意 15 RedHatEnterpriseLinux8安装身份管理 注意如果上一步中的dig+shortAAAA没有显示任何IPv6地址,则查询AAAA记录不会输出任何内容。
在这种情况下,这是正常的行为,不代表配置不正确。
警告如果反向DNS(PTR记录)搜索返回多个主机名,那么httpd和其他与IdM关联的软件可能会显示无法预测的行为。
红帽强烈建议每个IP只配置一个PTR记录。
验证DNS正向解析器的标准合规性(仅集成DNS需要)确保您要与IdMDNS服务器一起使用的所有DNS正向解析器均符合DNS(EDNS0)扩展机制和DNS安全扩展扩展(DNSSEC)标准。
要做到这一点,请分别检查每个正向解析器的以下命令的输出: $dig+dnssec@IP_address_of_the_DNS_forwarder.SOA 命令显示的预期输出包含以下信息:状态:NOERROR标记:raEDNS标志:doRRSIG记录必须在ANSWER部分中存在 如果输出中缺少任何这些项,请检查您的DNS正向解析器文档,验证是否支持并启用了EDNS0和DNSSEC。
在最新版本的BIND服务器中,dnssec-enableyes;选项必须在/etc/named.conf文件中设置。
dig生成的预期输出示例: ;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:48655;;flags:qrrdraad;QUERY:
1,ANSWER:
2,AUTHORITY:
0,ADDITIONAL:1;;OPTPSEUDOSECTION:;EDNS:version:0,flags:do;udp:4096;;ANSWERSECTION:.31679INSOA..2015100701180090060480086400.31679INRRSIGSOA808640020020062530.GNVz7SQs[...] 验证/etc/hosts文件验证/etc/hosts文件是否满足以下条件之一:该文件不包含主机的条目。
它只列出主机的IPv4和IPv6localhost条目。
该文件包含主机条目,并且文件满足以下所有条件: 16 前两个条目是IPv4和IPv6localhost条目。
下一个条目指定IdM服务器IPv4地址和主机名。
IdM服务器的FQDN位于IdM服务器的短名称之前。
IdM服务器主机名不是localhost条目的一部分。
以下是正确配置的/etc/hosts文件示例: 127.0.0.1localhostlocalhost.localdomain\localhost4localhost4.localdomain4::1localhostlocalhost.localdomain\localhost6localhost6.localdomain6192.0.2.1server2001:DB8::1111server 第1章为IDM服务器安装准备系统 1.6.IDM的端口要求 身份管理(IdM)使用多个端口与其服务进行通信。
这些端口必须是开放的,并可用于IdM服务器的传入连接,这样IdM才能工作。
。
它们当前不能被其他服务使用,或者被防火墙阻止。
表1.2.IdM端口 端口 端口 协议 HTTP/HTTPS 80,443 TCP LDAP/LDAPSKerberosDNSNTP 389,63688,46453123 TCPTCP和UDPTCP和UDP(可选)UDP(可选) 此外,端口8080、8443和749必须是空闲的,因为它们在内部使用。
不要打开这些端口,保持让防火墙阻止它们。
表1.3.firewalld服务 服务名称 详情请查看: freeipa-ldap /usr/lib/firewalld/services/freeipa-ldap.xml freeipa-ldaps /usr/lib/firewalld/services/freeipa-ldaps.xml dns /usr/lib/firewalld/services/dns.xml 17 Red
HatEnterpriseLinux8安装身份管理 打开所需端口
1.确保firewalld服务正在运行。
查看firewalld当前是否正在运行:#systemctlstatusfirewalld.service 启动firewalld并将其配置为在系统引导时自动启动:#systemctlstartfirewalld.service#systemctlenablefirewalld.service
2.使用firewall-cmd工具打开所需的端口。
选择以下选项之一:a.使用firewall-cmd--add-port命令在防火墙中添加各个端口。
例如,要在默认区中打开端口: #firewall-cmd--permanent--add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp} b.使用firewall-cmd--add-service命令在防火墙中添加firewalld服务。
例如,要在默认区中打开端口: #firewall-cmd--permanent--add-service={freeipa-ldap,freeipa-ldaps,dns}有关使用firewall-cmd开放系统上端口的详情,请参考firewall-cmd
(1)手册页。
3.重新载入firewall-cmd配置以确保修改立即生效:#firewall-cmd--reload请注意,在生产环境的系统上重新载入firewalld可能会导致DNS连接超时。
如果需要,为了避免超时的风险并在运行的系统上永久保留修改,请使用firewall-cmd命令的ermanent选项,例如: #firewall-cmd--runtime-to-permanent
4.可选。
要验证端口现在是否可用,请使用nc、或nmap工具连接到端口或运行端口扫描。
注意请注意,您还必须为传入和传出流量打开基于网络的防火墙。
1.7.安装IDM服务器所需的软件包 在RHEL8中,安装身份管理(IdM)服务器所需的软件包作为模块提供。
IdM服务器模块流称为DL1流,您需要先启用这个流,然后才能从此流下载软件包。
以下流程演示了如何下载设置您选择的IdM环境所需的软件包。
先决条件您有一个新安装的RHEL系统。
18 第1章为IDM服务器安装准备系统 您已提供所需的软件仓库:如果您的RHEL系统不是在云中运行,您已将您的系统注册到RedHatSubscriptionManager(RHSM)。
详情请参阅SubscriptionManager命令行中的注册、附加和删除订阅。
您还可以启用IdM使用的BaseOS和AppStream软件仓库:#subscription-managerrepos--enable=rhel-8-for-x86_64-baseos-rpms#subscription-managerrepos--enable=rhel-8-for-x86_64-appstream-rpms 有关如何使用RHSM启用和禁用特定软件仓库的详情,请参考RedHatSubscriptionManager中的配置选项。
如果您的RHEL系统在云中运行请跳过注册。
所需的软件仓库已通过RedHatUpdateInfrastructure(RHUI)提供。
您之前还没有启用IdM模块流。
流程
1.启用idm:DL1流:#yummoduleenableidm:DL12.切换到通过idm:DL1流提供的RPM:#yumdistro-sync3.根据您的IdM要求选择以下选项之一:要下载在没有集成DNS的情况下安装IdM服务器所需的软件包: #yummoduleinstallidm:DL1/server要下载安装带有集成DNS的IdM服务器所需的软件包: #yummoduleinstallidm:DL1/dns要下载安装与ActiveDirectory具有信任协议的IdM服务器所需的软件包: #yummoduleinstallidm:DL1/adtrust要从多个配置集下载软件包,如adtrust和dns配置集: #yummoduleinstallidm:DL1/{dns,adtrust}要下载安装IdM客户端所需的软件包: #yummoduleinstallidm:DL1/client 重要 19 RedHatEnterpriseLinux8安装身份管理 重要当您启用了其他流并从中下载软件包后,当切换到新的模块流时,需要首先明确删除所有安装的相关内容,并在启用新模块流前禁用当前模块流。
在不禁用当前流的情况下尝试启用新流会导致错误。
有关如何继续操作的详情,请参阅切换到更新的流。
警告虽然可以从模块单独安装软件包,但请注意,如果您安装的任何软件包来自于未列为该模块“API”的模块,则该软件包只能在该模块的上下文中被红帽所支持。
例如,如果您直接从存储库安装bind-dyndb-ldap,以用于自定义389目录服务器设置,则您遇到的任何问题都会被忽略,除非IdM也出现这些问题。
20 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装带有集成证书颁发机构(CA)作为根CA的新IdM服务器。
注意ipa-server-install命令的默认配置是集成的CA作为根CA。
如果没有CA选项,如指定了--external-ca或--ca-less,则IdM服务器将安装为带有集成的CA。
2.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行ipa-server-install工具程序。
#ipa-server-install
2.此脚本提示配置集成的DNS服务。
输入yes。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 21 RedHatEnterpriseLinux8安装身份管理 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
8.安装脚本现在配置服务器。
等待操作完成。
9.安装脚本完成后,使用以下方法更新您的DNS记录: a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要 22 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
2.2.非互动安装 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.使用选项运行ipa-server-install程序来提供所有所需信息。
非互动安装的最低所需选项是:--realm提供Kerberos领域名--ds-password为目录管理者(DM)(目录服务器超级用户)提供密码--admin-password为admin(身份管理(IdM)管理员)提供密码--unattended,让安装进程为主机名和域名选择默认选项要安装使用集成DNS的服务器,还要添加以下选项:--setup-dns用于配置集成DNS--forwarder或--no-forwarders,取决于您是否要配置DNS正向解析器--auto-reverse或--no-reverse,取决于您是否要配置在IdMDNS中创建的反向DNS区域的自动检测,或者不需要反向区域自动检测例如: #ipa-server-install--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended--setup-dns--forwarder192.0.2.1--noreverse
2.安装脚本完成后,使用以下方法更新您的DNS记录:a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
23 RedHatEnterpriseLinux8安装身份管理其它资源如需ipa-server-install接受的选项的完整列表,请运行ipa-server-install--help命令。
24 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装具有外部证书颁发机构(CA)作为根CA的新IdM服务器。
3.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个步骤描述了如何安装服务器: 带有集成的DNS使用外部证书颁发机构(CA)作为rootCA 先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.使用--external-ca选项来运行ipa-server-install工具。
#ipa-server-install--external-ca 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
25 RedHatEnterpriseLinux8安装身份管理
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的服务器。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes 注意 如果您要安装没有集成DNS的服务器,安装脚本将不会提示您进行DNS配置,如下面步骤所述。
如需了解安装没有DNS的服务器的步骤的详情,请参阅第5章安装IdM服务器:在不集成DNS的情况,将集成的CA作为rootCA。
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 26 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
8.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ...Configuringcertificateserver(pki-tomcatd):Estimatedtime3minutes30seconds [1/8]:creatingcertificateserveruser[2/8]:configuringcertificateserverinstanceThenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/sbin/ipa-server-installas:/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificate 当发生这种情况时:a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同 而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem
9.安装脚本现在配置服务器。
等待操作完成。
10.安装脚本完成后,使用以下方法更新您的DNS记录: a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要 27 RedHatEnterpriseLinux8安装身份管理 重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
注意ipa-server-install--external-ca命令有时可能会失败,并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/configuration_file'returnednon-zeroexitstatus1ConfigurationofCAfailed 当设置*_proxy环境变量时,会发生此失败。
有关问题的解决方案请查看第3.2节“故障排除:外部CA安装失败”。
3.2.故障排除:外部CA安装失败 ipa-server-install--external-ca命令失败并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/configuration_file'returnednon-zeroexitstatus1ConfigurationofCAfailed env|grepproxy命令显示如下变量: #env|grepproxyhttp_proxy=:8080ftp_proxy=:8080https_proxy=:8080 这意味着:*_proxy环境变量会阻止安装服务器。
解决此问题:
1.使用以下shell脚本取消设置*_proxy环境变量: #foriinftphttphttps;dounset${i}_proxy;done
2.运行pkidestroy工具来删除失败的证书颁发机构(CA)子系统的安装: #pkidestroy-sCA-ipki-tomcat;rm-rf/var/log/pki/pki-tomcat/etc/sysconfig/pkitomcat/etc/sysconfig/pki/tomcat/pki-tomcat/var/lib/pki/pki-tomcat/etc/pki/pki-tomcat/root/ipa.csr
3.删除失败的身份管理(IdM)服务器的安装: #ipa-server-install--uninstall 28 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA4.重新运行ipa-server-install--external-ca。
29 RedHatEnterpriseLinux8安装身份管理 第4章安装IDM服务器:使用集成的DNS,没有CA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装没有证书颁发机构(CA)的新IdM服务器。
4.1.安装没有CA的IDM服务器所需的证书 本节列出了:安装没有证书颁发机构(CA)的身份管理(IdM)服务器所需的证书用于将这些证书提供给ipa-server-install工具的命令行选项 重要您不能使用自签名的第三方服务器证书来安装服务器或副本,因为导入的证书文件必须包含签发LDAP和Apache服务器证书的CA的完整CA证书链。
LDAP服务器证书和私钥--dirsrv-cert-file用于LDAP服务器证书的证书和私钥文件--dirsrv-pin用于访问--dirsrv-cert-file中指定的文件中的私钥的密码 Apache服务器证书和私钥--http-cert-file用于Apache服务器证书的证书和私钥文件--http-pin,用于访问--http-cert-file中指定的文件中的私钥的密码 发布LDAP和Apache服务器证书的CA完整CA证书链--dirsrv-cert-file和--http-cert-file用于具有完整CA证书链或部分证书链的证书文件 您可以提供在--dirsrv-cert-file和--http-cert-file选项中指定的以下格式的文件:Privacy-EnhancedMail(PEM)编码的证书(RFC7468)。
请注意,身份管理安装程序接受串联的PEM编码的对象。
区分编码规则(DER) 30 第4章安装IDM服务器:使用集成的DNS,没有CA PKCS#7证书链对象PKCS#8私钥对象PKCS#12归档您可以多次指定--dirsrv-cert-file和--http-cert-file选项来指定多个文件。
完成完整CA证书链的证书文件(某些环境中不需要) --ca-cert-file用于包含签发LDAP、Apache服务器和KerberosKDC证书的CA证书的一个或多个文件。
如果其他选项提供的证书文件中没有CA证书,请使用这个选项。
使用--dirsrv-cert-file和--http-cert-file以及--ca-cert-file提供的文件必须包含签发LDAP和Apache服务器证书的CA的完整CA证书链。
Kerberos密钥分发中心(KDC)PKINIT证书和私钥(可选) --pkinit-cert-file用于KerberosKDCSSL证书和私钥--pkinit-pin用于访问--pkinit-cert-file文件中指定的KerberosKDC私钥的密码--no-pkinit用于禁用pkinit设置步骤 如果您不提供PKINIT证书,ipa-server-install使用带有自签名证书的本地KDC来配置IdM服务器。
其它资源有关证书文件接受哪些选项的详情,请参见ipa-server-install
(1)手册页。
4.2.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行ipa-server-install工具,并提供所有所需的证书。
例如:[root@server~]#ipa-server-install\--http-cert-file/tmp/server.crt\--http-cert-file/tmp/server.key\--http-pinsecret\--dirsrv-cert-file/tmp/server.crt\--dirsrv-cert-file/tmp/server.key\--dirsrv-pinsecret\--ca-cert-fileca.crt 如需了解有关提供的证书的详细信息,请参阅第4.1节“安装没有CA的IdM服务器所需的证书”。
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的 31 RedHatEnterpriseLinux8安装身份管理
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的服务器。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes 注意 如果您要安装没有集成DNS的服务器,安装脚本将不会提示您进行DNS配置,如下面步骤所述。
如需了解安装没有DNS的服务器的步骤的详情,请参阅第5章安装IdM服务器:在不集成DNS的情况,将集成的CA作为rootCA。
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 32 第4章安装IDM服务器:使用集成的DNS,没有CA如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes8.安装脚本现在配置服务器。
等待操作完成。
9.安装脚本完成后,使用以下方法更新您的DNS记录:a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
33 RedHatEnterpriseLinux8安装身份管理 第5章安装IDM服务器:在不集成DNS的情况,将集成的CA作为ROOTCA 本章描述了如何安装没有集成DNS的新的身份管理(IdM)服务器。
5.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个过程安装服务器: 没有集成的DNS集成身份管理(IdM)证书颁发机构(CA)作为根CA,这是默认的CA配置 流程
1.运行ipa-server-install工具。
#ipa-server-install
2.此脚本提示配置集成的DNS服务。
按Enter键选择默认的no选项。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)和IdM管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword: 34 第5章安装IDM服务器:在不集成DNS的情况,将集成的CA作为ROOTCA
5.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
6.安装脚本现在配置服务器。
等待操作完成。
7.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 /tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
5.2.非互动安装 这个过程安装服务器:没有集成的DNS集成身份管理(IdM)证书颁发机构(CA)作为根CA,这是默认的CA配置 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
非互动安装的最低所需选项是:--realm提供Kerberos领域名--ds-password为目录管理者(DM)(目录服务器超级用户)提供密码--admin-password为admin(IdM管理员)提供密码--unattended,让安装进程为主机名和域名选择默认选项例如: #ipa-server-install--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended
2.安装脚本生成包含DNS资源记录的文件:下面示例输出中的/tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
35 RedHatEnterpriseLinux8安装身份管理...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
其它资源如需ipa-server-install接受的选项的完整列表,请运行ipa-server-install--help命令。
36 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA 本章描述了如何安装没有集成DNS的新的身份管理(IdM)服务器,该服务器使用外部证书颁发机构(CA)作为根CA。
6.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个步骤描述了如何安装服务器: 没有集成的DNS使用外部证书颁发机构(CA)作为rootCA 先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.使用--external-ca选项来运行ipa-server-install工具。
#ipa-server-install--external-ca 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
2.此脚本提示配置集成的DNS服务。
按Enter键选择默认的no选项。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 37 RedHatEnterpriseLinux8安装身份管理 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)和IdM管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
6.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ... Configuringcertificateserver(pki-tomcatd):Estimatedtime3minutes30seconds[1/8]:creatingcertificateserveruser[2/8]:configuringcertificateserverinstance Thenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/sbin/ipa-server-installas:/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificate 当发生这种情况时: a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要 确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem
7.安装脚本现在配置服务器。
等待操作完成。
8.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 38 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA
8.安装脚本生成包含DNS资源记录的文件:下面示例输出中的/tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
其它资源ipa-server-install--external-ca命令有时可能会失败,并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/pass:quotes[configuration_file]'returnednon-zeroexitstatus1ConfigurationofCAfailed 当设置*_proxy环境变量时,会发生此失败。
有关问题的解决方案请查看第3.2节“故障排除:外部CA安装失败”。
6.2.非互动安装 这个过程安装服务器: 没有集成的DNS使用外部证书颁发机构(CA)作为rootCA 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
使用外部CA的IdM服务器非 39 RedHatEnterpriseLinux8安装身份管理
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
使用外部CA的IdM服务器非互动安装的最低必需选项是: --external-ca用于指定外部CA是根CA --realm提供Kerberos领域名 --ds-password为目录管理者(DM)(目录服务器超级用户)提供密码 --admin-password为admin(IdM管理员)提供密码 --unattended,让安装进程为主机名和域名选择默认选项例如: #ipa-server-install--external-ca--realmEXAMPLE.COM--ds-passwordDM_password--admin-passwordadmin_password--unattended 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
2.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ... Configuringcertificateserver(pki-tomcatd).Estimatedtime:3minutes[1/11]:configuringcertificateserverinstance Thenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/usr/sbin/ipa-server-installas:/usr/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificateThemandwasessful 当发生这种情况时: a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要 确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended
3.安装脚本现在配置服务器。
等待操作完成。
4.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 40 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA4.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 /tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
41 RedHatEnterpriseLinux8安装身份管理 第7章IDM服务器安装故障排除 以下章节节介绍了如何收集有关失败的IdM服务器安装的信息,以及如何解决常见的安装问题。
查看IdM服务器安装错误日志 检查IdMCA安装错误 删除部分IdM服务器安装 7.1.查看IDM服务器安装错误日志 安装身份管理(IdM)服务器时,调试信息会附加到以下日志文件中: /var/log/ipaserver-install.log /var/log/httpd/error_log /var/log/dirsrv/slapd-INSTANCE-NAME/ess /var/log/dirsrv/slapd-INSTANCE-NAME/errors 日志文件的最后几行报告成功或失败,而
ERROR和DEBUG条目则提供额外的上下文。
要解决IdM服务器安装失败的问题,请查看日志文件末尾的错误,并使用这些信息来解决任何相应的问题。
先决条件 您必须具有root特权才能显示IdM日志文件中的内容。
流程
1.使用tail命令来显示日志文件的最后几行。
以下示例显示了/var/log/ipaserver-install.log的最后10行。
[user@server~]$sudotail-n10/var/log/ipaserver-install.log[sudo]passwordforuser:value=gen.send(prev_value)File"/usr/lib/python3.6/site-packages/ipapython/mon.py",line65,in_installforunusedinself._installer(self.parent):File"/usr/lib/python3.6/site-packages/ipaserver/install/server/init.py",line564,inmainmaster_install(self)File"/usr/lib/python3.6/site-packages/ipaserver/install/server/install.py",line291,indecoratedraiseScriptError() 2020-05-27T22:59:41ZDEBUGThemandfailed,exception:ScriptError:2020-05-27T22:59:41ZERRORThemandfailed.See/var/log/ipaserver-install.logformoreinformation
2.要以交互方式查看日志文件,请使用less工具打开日志文件的末尾,然后使用↑和↓箭头键来导航。
以下示例以交互方式打开/var/log/ipaserver-install.log文件。
[user@server~]$sudoless-N+G/var/log/ipaserver-install.log 42 第7章IDM服务器安装故障排除
3.通过使用剩余的日志文件重复此查看过程来收集额外的故障排除信息。
[user@server~]$sudoless-N+G/var/log/ess[user@server~]$sudoless-N+G/var/log/dirsrv/slapd-INSTANCE-NAME/errors 其它资源 如果您无法解决失败的IdM服务器安装,且您有一个红帽技术支持订阅,请在红帽客户门户网站中创建一个技术支持问题单,并提供服务器的sosreport。
sosreport工具从RHEL系统收集配置详情、日志和系统信息。
有关sosreport工具的更多信息,请参阅sosreport是什么以及如何在RedHatEnterpriseLinux中创建? 7.2.检查IDMCA安装错误 在身份管理(IdM)服务器上安装证书颁发机构(CA)服务时,调试信息会被附加到以下位置(按照推荐的优先级顺序): 位置/var/log/pki/pki-caspawn.$TIME_OF_INSTALLATION.logjournalctl-upki-tomcatd@pki-tomcatoutput/var/log/pki/pki-tomcat/ca/debug.$DATE.log /var/log/pki/pkitomcat/ca/signedAudit/ca_audit日志文件 /var/log/pki/pki-tomcat/ca/system/var/log/pki/pkitomcat/ca/transactions/var/log/pki/pkitomcat/catalina.$DATE.log Descriptionpkispawn安装进程的高级别问题和Python跟踪 pki-tomcatd@pki-tomcat服务中的错误公钥基础设施(PKI)产品核心中的大型JAVA堆栈跟踪活动PKI产品的审计日志 用于服务主体、主机和其它使用证书实体的证书操作的低级调试数据 注意 如果在安装可选CA组件时整个IdM服务器安装失败,则不会记录有关CA的详情;会在/var/log/ipaserver-install.log文件中记录一条信息,表示整个安装过程失败。
红帽建议查看以上列出的日志文件以了解CA安装失败的详情。
唯一例外是您要安装CA服务,rootCA是外部CA。
如果来自外部CA的证书出现问题,则会在/var/log/ipaserver-install.log中记录错误。
43 RedHatEnterpriseLinux8安装身份管理 要解决IdMCA安装失败的问题,请查看这些日志文件末尾的错误,并使用这些信息来解决任何相应的问题。
先决条件您必须具有root特权才能显示IdM日志文件中的内容。
流程
1.要以交互方式查看日志文件,请使用less程序打开日志文件的末尾,并在搜索ScriptError条目时,使用↑和↓箭头键来导航。
以下示例将打开/var/log/pki/pki-caspawn.$TIME_OF_INSTALLATION.log。
[user@server~]$sudoless-N+G/var/log/pki/pki-ca-spawn.20200527185902.log
2.通过使用以上列出的所有日志文件重复此查看过程来收集额外的故障排除信息。
其它资源如果您无法解决失败的IdM服务器安装,且您有一个红帽技术支持订阅,请在红帽客户门户网站中创建一个技术支持问题单,并提供服务器的sosreport。
sosreport工具从RHEL系统收集配置详情、日志和系统信息。
有关sosreport工具的更多信息,请参阅sosreport是什么以及如何在RedHatEnterpriseLinux中创建? 7.3.删除部分IDM服务器安装 如果IdM服务器安装失败,可以保留一些配置文件。
其他尝试安装IdM服务器会失败,
目录 目录 使...开..源..包..含..更..多................................................................................................7............. 对...红..帽..文..档..提..供..反..馈............................................................................................8............. 部...分..I...安..装..身..份..管..理............................................................................................9............. 第...1.章...为...ID..M..服..务..器..安...装..准..备..系..统.............................................................................1.0............. 1.1.安装IDM服务器时的授权要求 10 1.2.硬件建议 10 1.3.IDM的自定义配置要求 10 1.3.1.IdM中的IPv6要求 10 1.3.2.支持IdM中的加密类型 10 1.3.3.FIPS合规性 11 1.4.IDM的时间服务要求 12 1.4.1.IdM如何使用chronyd进行同步 12 1.4.2.IdM安装命令的NTP配置选项列表 13 1.4.3.确保IdM可以引用您的NTP时间服务器 13 1.4.4.其它资源 14 1.5.IDM的主机名和DNS要求 14 1.6.IDM的端口要求 17 打开所需端口 18 1.7.安装IDM服务器所需的软件包 18 第...2..章..安..装...I.D.M...服..务..器..:..使..用..集...成..的..D..N..S.,..集..成..的...C..A.作...为..R..O.O..T..C.A..........................................2..1............ 2.1.交互式安装 21 2.2.非互动安装 23 第...3..章..安...装..I.D.M...服..务..器..:..具..有..集...成..的..D..N..S.,..具..有..外..部...C..A..作..为..根..C..A............................................2.5............. 3.1.交互式安装 25 3.2.故障排除:外部CA安装失败 28 这意味着: 28 解决此问题: 28 第...4..章..安...装..I.D..M..服..务..器..:..使..用...集..成..的...D.N..S.,.没..有..C..A............................................................3.0............. 4.1.安装没有CA的IDM服务器所需的证书 30 4.2.交互式安装 31 第...5..章..安..装...I.D.M...服..务..器..:...在..不..集..成...D.N..S..的..情..况..,..将..集...成..的..C..A..作..为...R.O..O..T.C..A..................................3.4............. 5.1.交互式安装 34 5.2.非互动安装 35 第...6..章..安...装..I.D.M...服..务..器..:...在..不..集..成...D.N..S..的..情..况..下..,..使...用..外..部...C.A..作..为...R.O..O..T..C.A................................3.7............. 6.1.交互式安装 37 6.2.非互动安装 39 第...7..章..I.D..M..服..务..器..安..装...故..障..排..除...............................................................................4.2............. 7.1.查看IDM服务器安装错误日志 42 7.2.检查IDMCA安装错误 43 7.3.删除部分IDM服务器安装 44 7.4.其它资源 45 第...8..章..卸...载..I.D.M...服..务..器.......................................................................................4.6............. 第...9..章..重...命..名..I.D..M..服..务..器.....................................................................................4.7.............
1 RedHatEnterpriseLinux8安装身份管理 第...1.0..章..为...I.D.M..客...户..端..安..装..准..备..系..统............................................................................4.8............. 10.1.IDM客户端的DNS要求 48 其它资源 48 10.2.IDM客户端的端口要求 48 10.3.IDM客户端的IPV6要求 48 10.4.安装IDM客户端所需的软件包 48 10.4.1.从idm:client流安装ipa-client软件包 48 10.4.2.从idm:DL1流安装ipa-client软件包 49 第...1.1.章...安..装..I.D..M..客..户..端..:...基..本..情..境............................................................................5.0............. 11.1.先决条件 50 11.2.使用用户凭证安装客户端:交互式安装 50 11.3.使用一次性密码安装客户端:交互式安装 51 11.4.安装客户端:非互动安装 53 11.5.安装客户端后删除前IDM配置 54 11.6.测试IDM客户端 55 11.7.在IDM客户端安装过程中执行的连接 55 11.8.IDM客户端在安装后部署过程中与服务器的通信 55 11.8.1.SSSD通信模式 56 11.8.2.certmonger通讯特征 57 第...1.2.章...使..用...K.I.C.K..S.T..A.R..T.安..装...I.D.M...客..户..端.....................................................................5.9............. 12.1.使用KICKSTART安装客户端 59 12.2.用于客户端安装的KICKSTART文件 59 12.3.测试IDM客户端 60 第...1.3..章..I.D.M...客..户..端..安..装..故..障...排..除..............................................................................6..1............ 13.1.检查IDM客户端安装错误 61 13.2.解决客户端安装无法更新DNS记录时的问题 61 13.3.解决客户端安装无法加入IDMKERBEROS域时的问题 62 13.4.其它资源 63 第...1.4..章..重..新..注...册..I.D..M..客..户..端..................................................................................6.4............. 14.1.IDM中的客户端重新注册 64 14.1.1.客户端重新注册过程中会发生什么 64 14.2.使用用户凭证重新注册客户端:交互式重新注册 64 14.3.使用CLIENTKEYTAB:NON-INTERACTIVEREENROLLMENT重新注册客户端 65 14.4.测试IDM客户端 65 第...1.5.章...卸..载...I.D.M..客...户..端......................................................................................6.6............. 15.1.卸载IDM客户端 66 15.2.卸载IDM客户端:在以前的安装后执行额外的步骤 66 第...1.6..章..重..命..名...I.D.M...客..户..端..系..统................................................................................6.8............. 16.1.先决条件 68 16.2.卸载IDM客户端 68 16.3.卸载IDM客户端:在以前的安装后执行额外的步骤 69 16.4.重命名主机系统 70 16.5.重新安装IDM客户端 70 16.6.重新添加服务、重新生成证书和重新添加主机组 71 第...1.7.章...为...ID..M..副..本...安..装..准..备..系..统..............................................................................7.2............. 17.1.副本版本要求 72 17.2.显示IDM软件版本的方法 72 17.3.授权在IDM客户端上安装副本 73
2 目录 17.4.授权在未注册到IDM的系统上安装副本 74 第...1.8..章..安..装...I.D.M..副...本........................................................................................7.6............. 18.1.安装带有集成的DNS和CA的IDM副本 76 18.2.安装带有集成DNS的IDM副本 77 18.3.使用CA安装IDM副本 78 18.4.在没有CA的情况下安装IDM副本 79 18.5.安装IDM隐藏的副本 80 18.6.测试IDM副本 80 18.7.在IDM副本安装过程中执行的连接 80 第...1.9..章..I.D.M...副..本..安..装..故..障...排..除................................................................................8.2............. 19.1.查看IDM副本安装错误 82 19.2.检查IDMCA安装错误 83 19.3.删除部分IDM副本安装 85 19.4.解决无效凭证错误 86 19.5.其它资源 87 第...2.0..章...卸..载...ID..M..副..本........................................................................................8.8............. 第...2.1.章...安..装..并..运...行..I.D.M...H.E..A.L..T.H..C.H..E.C..K.工...具.................................................................8.9............. 21.1.IDM中的HEALTHCHECK 89 21.1.1.模块是独立的 89 21.1.2.两种输出格式 89 21.1.3.结果 89 21.2.安装IDMHEALTHCHECK 90 21.3.运行IDMHEALTHCHECK 90 21.4.其它资源 90 第...2.2..章...使..用..A..N.S..IB..L.E..P..L.A.Y..B.O..O..K..安..装..身..份..管..理..服...务..器.......................................................9.2............. 22.1.ANSIBLE及其安装IDM的优点 92 使用Ansible安装IdM的优点 92 22.2.使用ANSIBLEPLAYBOOK安装IDM服务器 92 概述 92 22.3.安装ANSIBLE-FREEIPA软件包 92 22.4.在文件系统中的ANSIBLE角色位置 93 22.5.使用ANSIBLEPLAYBOOK将集成CA的IDM服务器部署为ROOTCA 94 22.5.1.使用集成的CA作为rootCA设置部署的参数 94 22.5.2.使用Ansibleplaybook将集成CA的IdM服务器部署为rootCA 95 22.6.使用ANSIBLEPLAYBOOK将外部CA部署IDM服务器作为ROOTCA 96 22.6.1.使用外部CA作为rootCA设置部署的参数 96 22.6.2.使用Ansibleplaybook将外部CA部署IdM服务器作为rootCA 98 第...2.3..章...使..用..A..N..S.I.B.L.E..P..L.A.Y..B.O..O..K..安..装..身..份..管..理..副...本.........................................................9.9............. 23.1.ANSIBLE及其安装IDM的优点 99 使用Ansible安装IdM的优点 99 23.2.使用ANSIBLEPLAYBOOK安装IDM副本 99 概述 99 23.3.安装ANSIBLE-FREEIPA软件包 100 23.4.在文件系统中的ANSIBLE角色位置 100 23.5.设置IDM副本部署的参数 101 23.5.1.指定用于安装IdM副本的基础、服务器和客户端变量 101 23.5.2.使用Ansibleplaybook指定用于安装IdM副本的凭证 103 23.6.使用ANSIBLEPLAYBOOK部署IDM副本 104
3 RedHatEnterpriseLinux8安装身份管理 第...2.4..章...使..用...A.N..S.I.B.L.E..P..L.A..Y.B.O..O..K..安..装..身..份..管..理...客..户..端......................................................1.0.6............. 24.1.ANSIBLE及其安装IDM的优点 106 使用Ansible安装IdM的优点 106 24.2.使用ANSIBLEPLAYBOOK安装IDM客户端 106 概述 106 24.3.安装ANSIBLE-FREEIPA软件包 107 24.4.在文件系统中的ANSIBLE角色位置 107 24.5.设置IDM客户端部署的参数 108 24.5.1.为自动发现客户端安装模式设置清单文件的参数 108 24.5.2.当在客户端安装过程中无法自动发现时设置清单文件的参数 110 24.5.3.检查install-client.yml文件中的参数 112 24.5.4.使用Ansibleplaybook进行IdM客户端注册的授权选项 112 24.6.使用ANSIBLEPLAYBOOK部署IDM客户端 113 24.7.ANSIBLE安装后测试身份管理客户端 114 24.8.使用ANSIBLEPLAYBOOK卸载IDM客户端 114 部...分..I.I.集..成...I.D.M...和..A..D.......................................................................................11.6............. 第...2.5..章...在..I.D.M...和..A..D..间..安..装..信..任..............................................................................11.7............. 25.1.WINDOWS服务器支持的版本 117 25.2.信任如何工作 117 25.3.AD管理权利 118 25.4.确保支持AD和RHEL中的通用加密类型 118 25.5.IDM和AD间的通信所需的端口 119 25.6.为信任配置DNS和域设置 121 25.6.1.唯一的主DNS域 122 25.6.2.在IdMWebUI中配置DNS区域 123 25.6.3.在AD中配置DNS转发 125 25.6.4.验证DNS配置 126 25.7.设置信任 127 25.7.1.为信任准备IdM服务器 127 25.7.2.使用命令行设置信任协议 129 25.7.3.在IdMWebUI中设置信任协议 129 25.7.4.验证Kerberos配置 131 25.7.5.验证IdM上的信任配置 132 25.7.6.验证AD上的信任配置 132 25.7.7.创建信任代理 134 25.8.使用命令行删除信任 135 25.9.使用IDMWEBUI删除信任 135 部...分..I.II...将...ID..M..从...R.H..E.L..7..迁..移..到...R.H..E.L..8.,..并..保..持...最..新........................................................1.3.7............. 第...2.6..章...将..I.D..M..环..境..从...R.H..E.L..7..服..务..器..迁..移..到...R.H..E.L..8..服..务..器...................................................1.3.8............. 26.1.将IDM从RHEL7迁移到8的先决条件 139 26.2.安装RHEL8副本 140 26.3.为RHEL8IDM服务器分配CA续订服务器角色 141 26.4.在RHEL7IDMCA服务器中停止CRL生成 142 26.5.在新的RHEL8IDMCA服务器中启动CRL生成 142 26.6.停止并退出RHEL7服务器 143 第...2.7..章...更..新..和..降..级...ID..M.....................................................................................1.4.5............. 第...2.8..章...将..I.D..M..客..户..端..从...R.H..E.L..7..升..级..到...R.H..E.L..8.............................................................1.4.6............. 28.1.升级到RHEL8后更新SSSD配置 146 28.1.1.从本地ID提供程序切换到文件ID提供程序 146
4 28.1.2.删除已弃用的选项28.1.3.为sudo规则启用通配符匹配28.2.RHEL8中删除的SSSD功能列表28.3.其它资源 目录 147147148148
5 RedHatEnterpriseLinux8安装身份管理
6 使开源包含更多 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。
我们从这四个术语开始:master、slave、blacklist和whitelist。
这些更改将在即将发行的几个发行本中逐渐实施。
如需了解更多详细信息,请参阅CTOChrisWright信息。
在身份管理中,计划中的术语变化包括: 使用blocklist替换blacklist使用allowlist替换whitelist使用secondary替换slavemaster会根据上下文被替换为其他更适当的术语: 使用IdMserver替换IdMmaster使用CArenewalserver替换CArenewalmaster使用CRLpublisherserver替换CRLmaster使用multi-supplier替换multi-master
7 RedHatEnterpriseLinux8安装身份管理 对红帽文档提供反馈 我们感谢您对文档提供反馈信息。
请让我们了解如何改进文档。
要做到这一点:关于特定内容的简单评论:
1.请确定您使用Multi-pageHTML格式查看文档。
另外,确定Feedback按钮出现在文档页的右上方。
2.用鼠标指针高亮显示您想评论的文本部分。
3.点在高亮文本上弹出的AddFeedback。
4.按照显示的步骤操作。
要提交更复杂的反馈,请创建一个Bugzillaticket:
1.进入Bugzilla网站。
2.在Component中选择Documentation。
3.在Description中输入您要提供的信息。
包括文档相关部分的链接。
4.点SubmitBug。
8 部分
I.安装身份管理 部分
I.安装身份管理
9 RedHatEnterpriseLinux8安装身份管理 第1章为IDM服务器安装准备系统 以下章节列出了安装身份管理(IdM)服务器的要求。
在安装前,请确定您的系统满足这些要求。
1.1.安装IDM服务器时的授权要求 您需要root特权才能在主机上安装身份管理(IdM)服务器。
1.2.硬件建议 对于性能调整,RAM是最重要的硬件。
请确定您的系统有足够可用RAM。
典型的RAM要求是:对于10,000个用户和100个组:至少4GBRAM和4GB交换(swap)空间对于100,000个用户和50,000个组:至少16GBRAM和4GBswap空间 对于较大的部署,增加RAM比增加磁盘空间更为有效,因为许多数据都存储在缓存中。
通常,对于大型部署,添加更多RAM会因为有更多的缓存使系统具有更好的性能。
注意基本用户条目或带有证书的简单主机条目大约是5-10kB大小。
1.3.IDM的自定义配置要求 在干净的系统上安装身份管理(IdM)服务器,无需为DNS、Kerberos、Apache或DirectoryServer等服务进行任何自定义配置。
IdM服务器安装覆盖了系统文件来设置IdM域。
IdM将原始系统文件备份到/var/lib/ipa/sysrestore/。
当在生命周期结束时卸载IdM服务器时,会恢复这些文件。
1.3.1.IdM中的IPv6要求 IdM系统必须在内核中启用IPv6协议。
如果禁用IPv6,IdM服务使用的CLDAP插件将无法初始化。
注意不必在网络中启用IPv6。
1.3.2.支持IdM中的加密类型 RedHatEnterpriseLinux(RHEL)使用Kerberos协议版本
5,它支持加密类型,如高级加密标准(AES)、Camellia和数据加密标准(DES)。
支持的加密类型列表虽然IdM服务器和客户端上的Kerberos库可能会支持更多的加密类型,但IdMKerberos分发中心(KDC)只支持以下加密类型: aes256-cts:normalaes256-cts:special(默认)aes128-cts:normal 10 第1章为IDM服务器安装准备系统 aes128-cts:special(默认)aes128-sha2:normalaes128-sha2:specialaes256-sha2:normalaes256-sha2:specialcamellia128-cts-cmac:normalcamellia128-cts-cmac:specialcamellia256-cts-cmac:normalcamellia256-cts-cmac:special默认禁用RC4加密类型RHEL8中已弃用并默认禁用以下RC4加密类型,因为它们被视为不如较新的AES-128和AES-256加密类型安全:arcfour-hmac:normalarcfour-hmac:special有关手动启用RC4支持以与遗留的ActiveDirectory环境兼容的更多信息,请参阅确保支持AD和RHEL中的通用加密类型。
删除了对DES和3DES加密的支持由于安全考虑,在RHEL7中弃用了对DES算法的支持。
RHEL8.3.0中最近重新构建的Kerberos软件包从RHEL8中删除了对single-DES(DES)和triple-DES(3DES)加密类型的支持。
注意标准RHEL8IdM安装默认不使用DES或3DES加密类型,且不受Kerberos升级的影响。
如果您手动配置任何服务或用户只使用DES或3DES加密(例如,对于遗留的客户端),您可能会在升级到最新的Kerberos软件包后遇到服务中断,例如: Kerberos验证错误unknownenctype加密错误带有DES加密数据库主密钥(K/M)的KDC无法启动红帽建议不要在您的环境中使用DES或者3DES加密。
注意如果您将环境配置成了使用DES和3DES加密类型,则只需要禁用它们。
1.3.3.FIPS合规性 11 RedHatEnterpriseLinux8安装身份管理 在RHEL8.3.0或更高版本中,您可以在启用了联邦信息处理标准(FIPS)模式的系统上安装新的IdM服务器或副本。
要使用FIPS安装IdM,首先在主机上启用FIPS模式,然后安装IdM。
IdM安装脚本会检测是否启用了FIPS,并将IdM配置为只使用与FIPS140-2兼容的加密类型。
aes256-cts:normalaes256-cts:specialaes128-cts:normalaes128-cts:specialaes128-sha2:normalaes128-sha2:specialaes256-sha2:normalaes256-sha2:special要使IdM环境符合FIPS,所有的IdM服务器和副本都必须启用FIPS模式。
支持启用了FIPS模式的跨林信任要在启用了FIPS模式的同时建立与ActiveDirectory(AD)域的跨林信任,您必须满足以下要求:IdM服务器位于RHEL8.4.0或更高版本中。
在设置信任时,您必须使用AD管理帐户验证。
在启用FIPS模式时,您无法使用共享secret建立信任。
重要RADIUS身份验证不兼容FIPS。
如果您需要RADIUS身份验证,不要在启用了FIPS模式的服务器中安装IdM。
其它资源要在RHEL操作系统中启用FIPS模式,请参阅安全强化指南中的将系统切换到FIPS模式。
有关FIPS140-2的详情,请查看美国标准与技术研究院(NIST)网站上的加密模块的安全要求。
1.4.IDM的时间服务要求 以下章节讨论了使用chronyd来使IdM主机与中央时间源同步:IdM如何使用chronyd进行同步IdM安装命令的NTP配置选项列表确保IdM可以引用您的NTP时间服务器 1.4.1.IdM如何使用chronyd进行同步 Kerberos是IdM中的底层验证机制,使用时间戳作为其协议的一部分。
如果IdM客户端的系统时间与密 12 第1章为IDM服务器安装准备系统 Kerberos是IdM中的底层验证机制,使用时间戳作为其协议的一部分。
如果IdM客户端的系统时间与密钥发布中心(KDC)的系统时间相差超过5分钟,则Kerberos身份验证会失败。
为确保IdM服务器和客户端与中央时间源同步,IdM安装脚本会自动配置chronyd网络时间协议(NTP)客户端软件。
如果您没有将任何NTP选项传给IdM安装命令,安装程序将搜索指向网络中NTP服务器的_ntp._udpDNS服务(SRV)记录,并使用该IP地址配置chrony。
如果您没有任何_ntp._udpSRV记录,chronyd会使用chrony软件包提供的配置。
注意 因为ntpd在RHEL8中已弃用,所以IdM服务器不再配置为NetworkTimeProtocol(NTP)服务器,且只配置为NTP客户端。
RHEL7NTP服务器IdM服务器角色在RHEL8中也已弃用。
1.4.2.IdM安装命令的NTP配置选项列表 您可以在任何IdM安装命令(ipa-server-install、ipa-replica-install、ipa-client-install)中指定以下选项来在设置过程中配置chronyd客户端软件。
表1.1.IdM安装命令的NTP配置选项列表 选项 行为 --ntp-server--ntp-pool-
N,--no-ntp 使用它指定一个NTP服务器。
您可以多次使用它来指定多个服务器。
使用它指定一个解析为主机名的多个NTP服务器池。
不要配置、启动或启用chronyd。
1.4.3.确保IdM可以引用您的NTP时间服务器 此流程验证您是否具有必要的配置,以便IdM能够与您的网络时间协议(NTP)时间服务器同步。
先决条件您已在环境中配置了NTP时间服务器。
在本例中,之前配置的时间服务器的主机名为。
流程
1.对您环境中的NTP服务器执行DNS服务(SRV)记录搜索。
[user@server~]$dig+short-tSRV_ntp._0100123.2.如果之前的dig搜索没有返回您的时间服务器,请添加一个指向时间服务器123端口的_ntp._udpSRV记录。
这个过程取决于您的DNS解决方案。
验证步骤 在您执行搜索_ntp._udpSRV记录时,DNS验证您的时间服务器的123端口是否返回一条记 13 RedHatEnterpriseLinux8安装身份管理 在您执行搜索_ntp._udpSRV记录时,DNS验证您的时间服务器的123端口是否返回一条记录。
[user@server~]$dig+short-tSRV_ntp._0100123. 1.4.4.其它资源 NTP的实现使用Chrony套件配置NTP 1.5.IDM的主机名和DNS要求 本节列出了服务器和副本系统的主机名和DNS要求。
它还显示如何验证系统是否满足要求。
本节中的要求适用于所有身份管理(IdM)服务器、那些带有集成DNS的服务器以及没有集成DNS的服务器。
警告DNS记录对于几乎所有IdM域功能至关重要,包括运行LDAP目录服务、Kerberos和ActiveDirectory集成。
请非常小心,并确保:您有一个经过测试且可以正常工作的DNS服务该服务已被正确配置这个要求适用于带有和不带有集成DNS的IdM服务器。
验证服务器主机名主机名必须是完全限定域名,如。
完全限定域名必须满足以下条件:它是一个有效的DNS名称,即只允许数字、字母字符和连字符(-)。
主机名中的其他字符(如下划线(_))会导致DNS失败。
都是小写。
不允许使用大写字母。
它无法解析回送地址。
它必须解析系统的公共IP地址,而不是127.0.0.1。
要验证主机名,在您要安装的系统中使用hostname工具:#hostnamehostname的输出不能是localhost或localhost6。
验证转发和反向DNS配置 14 第1章为IDM服务器安装准备系统
1.获取服务器的IP地址。
a.ipaddrshow命令显示IPv4和IPv6地址。
在以下示例中,相关的IPv6地址为2001:DB8::1111,因为其范围是全局的: [root@server~]#ipaddrshow... 2:eth0:
2.使用dig工具证正向DNS配置。
a.运行dig+shortA命令。
返回的IPv4地址必须与ipaddrshow返回的IP地址匹配: [root@server~]#dig+shortA192.0.2.1 b.运行dig+shortAAAA命令。
如果返回一个地址,它必须与ipaddrshow返回的IPv6地址匹配: [root@server~]#dig+shortAAAA2001:DB8::1111 注意 如果dig没有返回AAAA记录的任何输出,那么这并不表示配置不正确。
没有输出只表示系统在DNS中没有配置IPv6地址。
如果您不打算在网络中使用IPv6协议,则可以继续进行安装。
3.验证反向DNS配置(PTR记录)。
使用dig工具并添加IP地址。
如果以下命令显示不同的主机名或没有主机名,则反向DNS配置不正确。
a.运行dig+short-xIPv4_address命令。
输出必须显示服务器主机名。
例如: [root@server~]#dig+short-x192.0.2.1 b.如果上一步中的dig+short-xAAAA命令返回IPv6地址,请使用dig查询IPv6地址。
输出必须显示服务器主机名。
例如: [root@server~]#dig+short-x2001:DB8::1111 注意 15 RedHatEnterpriseLinux8安装身份管理 注意如果上一步中的dig+shortAAAA没有显示任何IPv6地址,则查询AAAA记录不会输出任何内容。
在这种情况下,这是正常的行为,不代表配置不正确。
警告如果反向DNS(PTR记录)搜索返回多个主机名,那么httpd和其他与IdM关联的软件可能会显示无法预测的行为。
红帽强烈建议每个IP只配置一个PTR记录。
验证DNS正向解析器的标准合规性(仅集成DNS需要)确保您要与IdMDNS服务器一起使用的所有DNS正向解析器均符合DNS(EDNS0)扩展机制和DNS安全扩展扩展(DNSSEC)标准。
要做到这一点,请分别检查每个正向解析器的以下命令的输出: $dig+dnssec@IP_address_of_the_DNS_forwarder.SOA 命令显示的预期输出包含以下信息:状态:NOERROR标记:raEDNS标志:doRRSIG记录必须在ANSWER部分中存在 如果输出中缺少任何这些项,请检查您的DNS正向解析器文档,验证是否支持并启用了EDNS0和DNSSEC。
在最新版本的BIND服务器中,dnssec-enableyes;选项必须在/etc/named.conf文件中设置。
dig生成的预期输出示例: ;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:48655;;flags:qrrdraad;QUERY:
1,ANSWER:
2,AUTHORITY:
0,ADDITIONAL:1;;OPTPSEUDOSECTION:;EDNS:version:0,flags:do;udp:4096;;ANSWERSECTION:.31679INSOA..2015100701180090060480086400.31679INRRSIGSOA808640020020062530.GNVz7SQs[...] 验证/etc/hosts文件验证/etc/hosts文件是否满足以下条件之一:该文件不包含主机的条目。
它只列出主机的IPv4和IPv6localhost条目。
该文件包含主机条目,并且文件满足以下所有条件: 16 前两个条目是IPv4和IPv6localhost条目。
下一个条目指定IdM服务器IPv4地址和主机名。
IdM服务器的FQDN位于IdM服务器的短名称之前。
IdM服务器主机名不是localhost条目的一部分。
以下是正确配置的/etc/hosts文件示例: 127.0.0.1localhostlocalhost.localdomain\localhost4localhost4.localdomain4::1localhostlocalhost.localdomain\localhost6localhost6.localdomain6192.0.2.1server2001:DB8::1111server 第1章为IDM服务器安装准备系统 1.6.IDM的端口要求 身份管理(IdM)使用多个端口与其服务进行通信。
这些端口必须是开放的,并可用于IdM服务器的传入连接,这样IdM才能工作。
。
它们当前不能被其他服务使用,或者被防火墙阻止。
表1.2.IdM端口 端口 端口 协议 HTTP/HTTPS 80,443 TCP LDAP/LDAPSKerberosDNSNTP 389,63688,46453123 TCPTCP和UDPTCP和UDP(可选)UDP(可选) 此外,端口8080、8443和749必须是空闲的,因为它们在内部使用。
不要打开这些端口,保持让防火墙阻止它们。
表1.3.firewalld服务 服务名称 详情请查看: freeipa-ldap /usr/lib/firewalld/services/freeipa-ldap.xml freeipa-ldaps /usr/lib/firewalld/services/freeipa-ldaps.xml dns /usr/lib/firewalld/services/dns.xml 17 Red
HatEnterpriseLinux8安装身份管理 打开所需端口
1.确保firewalld服务正在运行。
查看firewalld当前是否正在运行:#systemctlstatusfirewalld.service 启动firewalld并将其配置为在系统引导时自动启动:#systemctlstartfirewalld.service#systemctlenablefirewalld.service
2.使用firewall-cmd工具打开所需的端口。
选择以下选项之一:a.使用firewall-cmd--add-port命令在防火墙中添加各个端口。
例如,要在默认区中打开端口: #firewall-cmd--permanent--add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp} b.使用firewall-cmd--add-service命令在防火墙中添加firewalld服务。
例如,要在默认区中打开端口: #firewall-cmd--permanent--add-service={freeipa-ldap,freeipa-ldaps,dns}有关使用firewall-cmd开放系统上端口的详情,请参考firewall-cmd
(1)手册页。
3.重新载入firewall-cmd配置以确保修改立即生效:#firewall-cmd--reload请注意,在生产环境的系统上重新载入firewalld可能会导致DNS连接超时。
如果需要,为了避免超时的风险并在运行的系统上永久保留修改,请使用firewall-cmd命令的ermanent选项,例如: #firewall-cmd--runtime-to-permanent
4.可选。
要验证端口现在是否可用,请使用nc、或nmap工具连接到端口或运行端口扫描。
注意请注意,您还必须为传入和传出流量打开基于网络的防火墙。
1.7.安装IDM服务器所需的软件包 在RHEL8中,安装身份管理(IdM)服务器所需的软件包作为模块提供。
IdM服务器模块流称为DL1流,您需要先启用这个流,然后才能从此流下载软件包。
以下流程演示了如何下载设置您选择的IdM环境所需的软件包。
先决条件您有一个新安装的RHEL系统。
18 第1章为IDM服务器安装准备系统 您已提供所需的软件仓库:如果您的RHEL系统不是在云中运行,您已将您的系统注册到RedHatSubscriptionManager(RHSM)。
详情请参阅SubscriptionManager命令行中的注册、附加和删除订阅。
您还可以启用IdM使用的BaseOS和AppStream软件仓库:#subscription-managerrepos--enable=rhel-8-for-x86_64-baseos-rpms#subscription-managerrepos--enable=rhel-8-for-x86_64-appstream-rpms 有关如何使用RHSM启用和禁用特定软件仓库的详情,请参考RedHatSubscriptionManager中的配置选项。
如果您的RHEL系统在云中运行请跳过注册。
所需的软件仓库已通过RedHatUpdateInfrastructure(RHUI)提供。
您之前还没有启用IdM模块流。
流程
1.启用idm:DL1流:#yummoduleenableidm:DL12.切换到通过idm:DL1流提供的RPM:#yumdistro-sync3.根据您的IdM要求选择以下选项之一:要下载在没有集成DNS的情况下安装IdM服务器所需的软件包: #yummoduleinstallidm:DL1/server要下载安装带有集成DNS的IdM服务器所需的软件包: #yummoduleinstallidm:DL1/dns要下载安装与ActiveDirectory具有信任协议的IdM服务器所需的软件包: #yummoduleinstallidm:DL1/adtrust要从多个配置集下载软件包,如adtrust和dns配置集: #yummoduleinstallidm:DL1/{dns,adtrust}要下载安装IdM客户端所需的软件包: #yummoduleinstallidm:DL1/client 重要 19 RedHatEnterpriseLinux8安装身份管理 重要当您启用了其他流并从中下载软件包后,当切换到新的模块流时,需要首先明确删除所有安装的相关内容,并在启用新模块流前禁用当前模块流。
在不禁用当前流的情况下尝试启用新流会导致错误。
有关如何继续操作的详情,请参阅切换到更新的流。
警告虽然可以从模块单独安装软件包,但请注意,如果您安装的任何软件包来自于未列为该模块“API”的模块,则该软件包只能在该模块的上下文中被红帽所支持。
例如,如果您直接从存储库安装bind-dyndb-ldap,以用于自定义389目录服务器设置,则您遇到的任何问题都会被忽略,除非IdM也出现这些问题。
20 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装带有集成证书颁发机构(CA)作为根CA的新IdM服务器。
注意ipa-server-install命令的默认配置是集成的CA作为根CA。
如果没有CA选项,如指定了--external-ca或--ca-less,则IdM服务器将安装为带有集成的CA。
2.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行ipa-server-install工具程序。
#ipa-server-install
2.此脚本提示配置集成的DNS服务。
输入yes。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 21 RedHatEnterpriseLinux8安装身份管理 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
8.安装脚本现在配置服务器。
等待操作完成。
9.安装脚本完成后,使用以下方法更新您的DNS记录: a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要 22 第2章安装IDM服务器:使用集成的DNS,集成的CA作为ROOTCA 重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
2.2.非互动安装 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.使用选项运行ipa-server-install程序来提供所有所需信息。
非互动安装的最低所需选项是:--realm提供Kerberos领域名--ds-password为目录管理者(DM)(目录服务器超级用户)提供密码--admin-password为admin(身份管理(IdM)管理员)提供密码--unattended,让安装进程为主机名和域名选择默认选项要安装使用集成DNS的服务器,还要添加以下选项:--setup-dns用于配置集成DNS--forwarder或--no-forwarders,取决于您是否要配置DNS正向解析器--auto-reverse或--no-reverse,取决于您是否要配置在IdMDNS中创建的反向DNS区域的自动检测,或者不需要反向区域自动检测例如: #ipa-server-install--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended--setup-dns--forwarder192.0.2.1--noreverse
2.安装脚本完成后,使用以下方法更新您的DNS记录:a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
23 RedHatEnterpriseLinux8安装身份管理其它资源如需ipa-server-install接受的选项的完整列表,请运行ipa-server-install--help命令。
24 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装具有外部证书颁发机构(CA)作为根CA的新IdM服务器。
3.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个步骤描述了如何安装服务器: 带有集成的DNS使用外部证书颁发机构(CA)作为rootCA 先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.使用--external-ca选项来运行ipa-server-install工具。
#ipa-server-install--external-ca 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
25 RedHatEnterpriseLinux8安装身份管理
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的服务器。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes 注意 如果您要安装没有集成DNS的服务器,安装脚本将不会提示您进行DNS配置,如下面步骤所述。
如需了解安装没有DNS的服务器的步骤的详情,请参阅第5章安装IdM服务器:在不集成DNS的情况,将集成的CA作为rootCA。
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 26 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA 如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
8.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ...Configuringcertificateserver(pki-tomcatd):Estimatedtime3minutes30seconds [1/8]:creatingcertificateserveruser[2/8]:configuringcertificateserverinstanceThenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/sbin/ipa-server-installas:/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificate 当发生这种情况时:a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同 而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem
9.安装脚本现在配置服务器。
等待操作完成。
10.安装脚本完成后,使用以下方法更新您的DNS记录: a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要 27 RedHatEnterpriseLinux8安装身份管理 重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
注意ipa-server-install--external-ca命令有时可能会失败,并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/configuration_file'returnednon-zeroexitstatus1ConfigurationofCAfailed 当设置*_proxy环境变量时,会发生此失败。
有关问题的解决方案请查看第3.2节“故障排除:外部CA安装失败”。
3.2.故障排除:外部CA安装失败 ipa-server-install--external-ca命令失败并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/configuration_file'returnednon-zeroexitstatus1ConfigurationofCAfailed env|grepproxy命令显示如下变量: #env|grepproxyhttp_proxy=:8080ftp_proxy=:8080https_proxy=:8080 这意味着:*_proxy环境变量会阻止安装服务器。
解决此问题:
1.使用以下shell脚本取消设置*_proxy环境变量: #foriinftphttphttps;dounset${i}_proxy;done
2.运行pkidestroy工具来删除失败的证书颁发机构(CA)子系统的安装: #pkidestroy-sCA-ipki-tomcat;rm-rf/var/log/pki/pki-tomcat/etc/sysconfig/pkitomcat/etc/sysconfig/pki/tomcat/pki-tomcat/var/lib/pki/pki-tomcat/etc/pki/pki-tomcat/root/ipa.csr
3.删除失败的身份管理(IdM)服务器的安装: #ipa-server-install--uninstall 28 第3章安装IDM服务器:具有集成的DNS,具有外部CA作为根CA4.重新运行ipa-server-install--external-ca。
29 RedHatEnterpriseLinux8安装身份管理 第4章安装IDM服务器:使用集成的DNS,没有CA 安装带有集成DNS的新的身份管理(IdM)服务器有以下优点:您可以使用原生IdM工具自动执行大多数维护和DNS记录管理。
例如:在设置过程中自动创建DNSSRV记录,之后会自动更新。
在安装IdM服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。
全局转发器对ActiveDirectory的信任也很有用。
您可以设置DNS反向区域,以防止来自您的域的电子邮件被IdM域之外的电子邮件服务器视为垃圾邮件。
安装带有集成DNS的IdM有一定的限制:IdMDNS并不意味着用作通用的DNS服务器。
不支持某些高级DNS功能。
本章描述了如何安装没有证书颁发机构(CA)的新IdM服务器。
4.1.安装没有CA的IDM服务器所需的证书 本节列出了:安装没有证书颁发机构(CA)的身份管理(IdM)服务器所需的证书用于将这些证书提供给ipa-server-install工具的命令行选项 重要您不能使用自签名的第三方服务器证书来安装服务器或副本,因为导入的证书文件必须包含签发LDAP和Apache服务器证书的CA的完整CA证书链。
LDAP服务器证书和私钥--dirsrv-cert-file用于LDAP服务器证书的证书和私钥文件--dirsrv-pin用于访问--dirsrv-cert-file中指定的文件中的私钥的密码 Apache服务器证书和私钥--http-cert-file用于Apache服务器证书的证书和私钥文件--http-pin,用于访问--http-cert-file中指定的文件中的私钥的密码 发布LDAP和Apache服务器证书的CA完整CA证书链--dirsrv-cert-file和--http-cert-file用于具有完整CA证书链或部分证书链的证书文件 您可以提供在--dirsrv-cert-file和--http-cert-file选项中指定的以下格式的文件:Privacy-EnhancedMail(PEM)编码的证书(RFC7468)。
请注意,身份管理安装程序接受串联的PEM编码的对象。
区分编码规则(DER) 30 第4章安装IDM服务器:使用集成的DNS,没有CA PKCS#7证书链对象PKCS#8私钥对象PKCS#12归档您可以多次指定--dirsrv-cert-file和--http-cert-file选项来指定多个文件。
完成完整CA证书链的证书文件(某些环境中不需要) --ca-cert-file用于包含签发LDAP、Apache服务器和KerberosKDC证书的CA证书的一个或多个文件。
如果其他选项提供的证书文件中没有CA证书,请使用这个选项。
使用--dirsrv-cert-file和--http-cert-file以及--ca-cert-file提供的文件必须包含签发LDAP和Apache服务器证书的CA的完整CA证书链。
Kerberos密钥分发中心(KDC)PKINIT证书和私钥(可选) --pkinit-cert-file用于KerberosKDCSSL证书和私钥--pkinit-pin用于访问--pkinit-cert-file文件中指定的KerberosKDC私钥的密码--no-pkinit用于禁用pkinit设置步骤 如果您不提供PKINIT证书,ipa-server-install使用带有自签名证书的本地KDC来配置IdM服务器。
其它资源有关证书文件接受哪些选项的详情,请参见ipa-server-install
(1)手册页。
4.2.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行ipa-server-install工具,并提供所有所需的证书。
例如:[root@server~]#ipa-server-install\--http-cert-file/tmp/server.crt\--http-cert-file/tmp/server.key\--http-pinsecret\--dirsrv-cert-file/tmp/server.crt\--dirsrv-cert-file/tmp/server.key\--dirsrv-pinsecret\--ca-cert-fileca.crt 如需了解有关提供的证书的详细信息,请参阅第4.1节“安装没有CA的IdM服务器所需的证书”。
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的 31 RedHatEnterpriseLinux8安装身份管理
2.此脚本提示配置集成的DNS服务。
输入yes或no。
在此过程中,我们安装了带有集成DNS的服务器。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:yes 注意 如果您要安装没有集成DNS的服务器,安装脚本将不会提示您进行DNS配置,如下面步骤所述。
如需了解安装没有DNS的服务器的步骤的详情,请参阅第5章安装IdM服务器:在不集成DNS的情况,将集成的CA作为rootCA。
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)以及身份管理(IdM)管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.此脚本提示DNS转发器。
DoyouwanttoconfigureDNSforwarders?
[yes]: 要配置DNS正向解析器,请输入yes,然后按照命令行中的说明进行操作。
安装过程会将正向解析器IP地址添加到安装的IdM服务器的/etc/named.conf文件中。
有关正向解析策略的默认设置,请查看ipa-dns-install
(1)手册页中的--forward-policy描述。
如果您不想使用DNS正向解析,请输入no。
如果没有DNS正向解析器,您的环境将被隔离,并且您基础架构中其他DNS域的名字不会被解析。
6.脚本会提示检查是否需要配置与服务器关联的IP地址的任何DNS反向(PTR)记录。
Doyouwanttosearchformissingreversezones?
[yes]: 32 第4章安装IDM服务器:使用集成的DNS,没有CA如果您运行搜索并发现丢失了反向区,脚本会询问您是否创建反向区以及PTR记录。
DoyouwanttocreatereversezoneforIP192.0.2.1[yes]:Pleasespecifythereversezonename[2.0.192.in-addr.arpa.]:Usingreversezone(s)2.0.192.in-addr.arpa. 注意使用IdM管理反向区是可选的。
您可以改为使用外部DNS服务来实现这一目的。
7.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes8.安装脚本现在配置服务器。
等待操作完成。
9.安装脚本完成后,使用以下方法更新您的DNS记录:a.将父域中的DNS委托程序添加到IdMDNS域。
例如,如果IdMDNS域是,请在父域中添加一个名字服务器(NS)记录。
重要每次安装IdMDNS服务器后都会重复这个步骤。
b.将时间服务器的_ntp._udp服务(SRV)记录添加到您的IdMDNS。
IdMDNS中新安装的IdM服务器的时间服务器的SRV记录可确保将来的副本和客户端安装会自动配置为与此主IdM服务器使用的时间服务器同步。
33 RedHatEnterpriseLinux8安装身份管理 第5章安装IDM服务器:在不集成DNS的情况,将集成的CA作为ROOTCA 本章描述了如何安装没有集成DNS的新的身份管理(IdM)服务器。
5.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个过程安装服务器: 没有集成的DNS集成身份管理(IdM)证书颁发机构(CA)作为根CA,这是默认的CA配置 流程
1.运行ipa-server-install工具。
#ipa-server-install
2.此脚本提示配置集成的DNS服务。
按Enter键选择默认的no选项。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)和IdM管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword: 34 第5章安装IDM服务器:在不集成DNS的情况,将集成的CA作为ROOTCA
5.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
6.安装脚本现在配置服务器。
等待操作完成。
7.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 /tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
5.2.非互动安装 这个过程安装服务器:没有集成的DNS集成身份管理(IdM)证书颁发机构(CA)作为根CA,这是默认的CA配置 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
流程
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
非互动安装的最低所需选项是:--realm提供Kerberos领域名--ds-password为目录管理者(DM)(目录服务器超级用户)提供密码--admin-password为admin(IdM管理员)提供密码--unattended,让安装进程为主机名和域名选择默认选项例如: #ipa-server-install--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended
2.安装脚本生成包含DNS资源记录的文件:下面示例输出中的/tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
35 RedHatEnterpriseLinux8安装身份管理...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
其它资源如需ipa-server-install接受的选项的完整列表,请运行ipa-server-install--help命令。
36 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA 本章描述了如何安装没有集成DNS的新的身份管理(IdM)服务器,该服务器使用外部证书颁发机构(CA)作为根CA。
6.1.交互式安装 在使用ipa-server-install工具进行交互式安装过程中,您需要提供系统的基本配置,如realm、管理员的密码和目录管理器的密码。
ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
这个步骤描述了如何安装服务器: 没有集成的DNS使用外部证书颁发机构(CA)作为rootCA 先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.使用--external-ca选项来运行ipa-server-install工具。
#ipa-server-install--external-ca 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
2.此脚本提示配置集成的DNS服务。
按Enter键选择默认的no选项。
DoyouwanttoconfigureintegratedDNS(BIND)?
[no]:
3.该脚本提示输入一些必需的设置,并在括号中提供推荐的默认值。
要接受默认值,请按Enter键。
要提供自定义值,请输入所需的值。
Serverhostname[]:Pleaseconfirmthedomainname[]:Pleaseprovidearealmname[EXAMPLE.COM]: 37 RedHatEnterpriseLinux8安装身份管理 警告仔细规划这些名称。
安装完成后您将无法更改它们。
4.输入目录服务器超级用户=DirectoryManager)和IdM管理系统用户帐户(admin)的密码。
DirectoryManagerpassword:IPAadminpassword:
5.输入yes以确认服务器配置。
Continuetoconfigurethesystemwiththesevalues?
[no]:yes
6.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ... Configuringcertificateserver(pki-tomcatd):Estimatedtime3minutes30seconds[1/8]:creatingcertificateserveruser[2/8]:configuringcertificateserverinstance Thenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/sbin/ipa-server-installas:/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificate 当发生这种情况时: a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要 确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem
7.安装脚本现在配置服务器。
等待操作完成。
8.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 38 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA
8.安装脚本生成包含DNS资源记录的文件:下面示例输出中的/tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
其它资源ipa-server-install--external-ca命令有时可能会失败,并显示以下错误: ipa:CRITICALfailedtoconfigurecainstanceCommand'/usr/sbin/pkispawn-sCA-f/tmp/pass:quotes[configuration_file]'returnednon-zeroexitstatus1ConfigurationofCAfailed 当设置*_proxy环境变量时,会发生此失败。
有关问题的解决方案请查看第3.2节“故障排除:外部CA安装失败”。
6.2.非互动安装 这个过程安装服务器: 没有集成的DNS使用外部证书颁发机构(CA)作为rootCA 注意ipa-server-install安装脚本在/var/log/ipaserver-install.log中创建一个日志文件。
如果安装失败,日志可帮助您辨别问题。
先决条件决定您使用的外部CA的类型(--external-ca-type选项)。
详情请查看ipa-server-install
(1)手册页。
或者,决定使用--external-ca-profile选项来指定替代的ActiveDirectory证书服务(ADCS)模板。
例如,指定特定于ADCS安装的对象标识符: [root@server~]#ipa-server-install--external-ca--external-ca-type=ms-cs--external-caprofile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.44
05632:
1 流程
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
使用外部CA的IdM服务器非 39 RedHatEnterpriseLinux8安装身份管理
1.运行带有选项的ipa-server-install工具以提供所有必需的信息。
使用外部CA的IdM服务器非互动安装的最低必需选项是: --external-ca用于指定外部CA是根CA --realm提供Kerberos领域名 --ds-password为目录管理者(DM)(目录服务器超级用户)提供密码 --admin-password为admin(IdM管理员)提供密码 --unattended,让安装进程为主机名和域名选择默认选项例如: #ipa-server-install--external-ca--realmEXAMPLE.COM--ds-passwordDM_password--admin-passwordadmin_password--unattended 如果您使用的是Microsoft证书服务CA,也要使用--external-ca-type选项。
详情请查看ipaserver-install
(1)手册页。
2.在证书系统实例配置过程中,该工具会打印证书签名请求(CSR)的位置:/root/ipa.csr: ... Configuringcertificateserver(pki-tomcatd).Estimatedtime:3minutes[1/11]:configuringcertificateserverinstance Thenextstepistoget/root/ipa.csrsignedbyyourCAandre-run/usr/sbin/ipa-server-installas:/usr/sbin/ipa-server-install--external-cert-file=/path/to/signed_certificate--external-certfile=/path/to/external_ca_certificateThemandwasessful 当发生这种情况时: a.将位于/root/ipa.csr中的CSR提交给外部CA。
这个过程根据要用作外部CA的服务的不同而有所不同。
b.在基础64编码blob中检索颁发的证书和颁发CA的CA证书链(WindowsCA的PEM文件或Base_64证书)。
同样,不同的证书服务的进程会有所不同。
通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。
重要 确保获取CA的完整证书链,而不只是CA证书。
c.再次运行ipa-server-install,这次指定新发布的CA证书和CA链文件的位置和名称。
例如: #ipa-server-install--external-cert-file=/tmp/servercert20170601.pem--external-certfile=/tmp/cacert.pem--realmEXAMPLE.COM--ds-passwordDM_password--adminpasswordadmin_password--unattended
3.安装脚本现在配置服务器。
等待操作完成。
4.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 40 第6章安装IDM服务器:在不集成DNS的情况下,使用外部CA作为ROOTCA4.安装脚本生成包含DNS资源记录的文件:下面示例输出中的 /tmp/ipa.system.records.UFRPto.db文件。
将这些记录添加到现有的外部DNS服务器中。
更新DNS记录的过程因特定的DNS解决方案而异。
...RestartingtheKDCPleaseaddrecordsinthisfiletoyourDNSsystem:/tmp/ipa.system.records.UFRBto.dbRestartingthewebserver... 重要在将DNS记录添加到现有DNS服务器之前,服务器安装不会完成。
41 RedHatEnterpriseLinux8安装身份管理 第7章IDM服务器安装故障排除 以下章节节介绍了如何收集有关失败的IdM服务器安装的信息,以及如何解决常见的安装问题。
查看IdM服务器安装错误日志 检查IdMCA安装错误 删除部分IdM服务器安装 7.1.查看IDM服务器安装错误日志 安装身份管理(IdM)服务器时,调试信息会附加到以下日志文件中: /var/log/ipaserver-install.log /var/log/httpd/error_log /var/log/dirsrv/slapd-INSTANCE-NAME/ess /var/log/dirsrv/slapd-INSTANCE-NAME/errors 日志文件的最后几行报告成功或失败,而
ERROR和DEBUG条目则提供额外的上下文。
要解决IdM服务器安装失败的问题,请查看日志文件末尾的错误,并使用这些信息来解决任何相应的问题。
先决条件 您必须具有root特权才能显示IdM日志文件中的内容。
流程
1.使用tail命令来显示日志文件的最后几行。
以下示例显示了/var/log/ipaserver-install.log的最后10行。
[user@server~]$sudotail-n10/var/log/ipaserver-install.log[sudo]passwordforuser:value=gen.send(prev_value)File"/usr/lib/python3.6/site-packages/ipapython/mon.py",line65,in_installforunusedinself._installer(self.parent):File"/usr/lib/python3.6/site-packages/ipaserver/install/server/init.py",line564,inmainmaster_install(self)File"/usr/lib/python3.6/site-packages/ipaserver/install/server/install.py",line291,indecoratedraiseScriptError() 2020-05-27T22:59:41ZDEBUGThemandfailed,exception:ScriptError:2020-05-27T22:59:41ZERRORThemandfailed.See/var/log/ipaserver-install.logformoreinformation
2.要以交互方式查看日志文件,请使用less工具打开日志文件的末尾,然后使用↑和↓箭头键来导航。
以下示例以交互方式打开/var/log/ipaserver-install.log文件。
[user@server~]$sudoless-N+G/var/log/ipaserver-install.log 42 第7章IDM服务器安装故障排除
3.通过使用剩余的日志文件重复此查看过程来收集额外的故障排除信息。
[user@server~]$sudoless-N+G/var/log/ess[user@server~]$sudoless-N+G/var/log/dirsrv/slapd-INSTANCE-NAME/errors 其它资源 如果您无法解决失败的IdM服务器安装,且您有一个红帽技术支持订阅,请在红帽客户门户网站中创建一个技术支持问题单,并提供服务器的sosreport。
sosreport工具从RHEL系统收集配置详情、日志和系统信息。
有关sosreport工具的更多信息,请参阅sosreport是什么以及如何在RedHatEnterpriseLinux中创建? 7.2.检查IDMCA安装错误 在身份管理(IdM)服务器上安装证书颁发机构(CA)服务时,调试信息会被附加到以下位置(按照推荐的优先级顺序): 位置/var/log/pki/pki-caspawn.$TIME_OF_INSTALLATION.logjournalctl-upki-tomcatd@pki-tomcatoutput/var/log/pki/pki-tomcat/ca/debug.$DATE.log /var/log/pki/pkitomcat/ca/signedAudit/ca_audit日志文件 /var/log/pki/pki-tomcat/ca/system/var/log/pki/pkitomcat/ca/transactions/var/log/pki/pkitomcat/catalina.$DATE.log Descriptionpkispawn安装进程的高级别问题和Python跟踪 pki-tomcatd@pki-tomcat服务中的错误公钥基础设施(PKI)产品核心中的大型JAVA堆栈跟踪活动PKI产品的审计日志 用于服务主体、主机和其它使用证书实体的证书操作的低级调试数据 注意 如果在安装可选CA组件时整个IdM服务器安装失败,则不会记录有关CA的详情;会在/var/log/ipaserver-install.log文件中记录一条信息,表示整个安装过程失败。
红帽建议查看以上列出的日志文件以了解CA安装失败的详情。
唯一例外是您要安装CA服务,rootCA是外部CA。
如果来自外部CA的证书出现问题,则会在/var/log/ipaserver-install.log中记录错误。
43 RedHatEnterpriseLinux8安装身份管理 要解决IdMCA安装失败的问题,请查看这些日志文件末尾的错误,并使用这些信息来解决任何相应的问题。
先决条件您必须具有root特权才能显示IdM日志文件中的内容。
流程
1.要以交互方式查看日志文件,请使用less程序打开日志文件的末尾,并在搜索ScriptError条目时,使用↑和↓箭头键来导航。
以下示例将打开/var/log/pki/pki-caspawn.$TIME_OF_INSTALLATION.log。
[user@server~]$sudoless-N+G/var/log/pki/pki-ca-spawn.20200527185902.log
2.通过使用以上列出的所有日志文件重复此查看过程来收集额外的故障排除信息。
其它资源如果您无法解决失败的IdM服务器安装,且您有一个红帽技术支持订阅,请在红帽客户门户网站中创建一个技术支持问题单,并提供服务器的sosreport。
sosreport工具从RHEL系统收集配置详情、日志和系统信息。
有关sosreport工具的更多信息,请参阅sosreport是什么以及如何在RedHatEnterpriseLinux中创建? 7.3.删除部分IDM服务器安装 如果IdM服务器安装失败,可以保留一些配置文件。
其他尝试安装IdM服务器会失败,
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
