Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第17章 ホストおよびサービスへのアクセス委譲

本章のコンテキストで 管理するとは、別のホストまたはサービスのキータブと証明書を取得できることを意味します。すべてのホストとサービスには managedby エントリーがあり、これにホストやサービスが管理可能なものが記載されています。デフォルトでは、ホストはホスト自体とそのサービスすべてを管理できます。また、適切な委譲更新や、適切な managedby エントリーを指定して、ホストが他のホストや他のホスト上のサービスを管理できるようにすることも可能です。
IdM サービスは、そのサービスへのアクセス許可が付与、もしくは委譲 されている IdM ホストであれば、どのホストからでも管理できます。同様に、ホストにはドメイン内の他のホストへの許可を委譲できます。

図17.1 ホストおよびサービスの委譲

ホストおよびサービスの委譲
View larger image
ホストおよびサービスの委譲
注記
managedBy エントリーで別のホストに権限が委譲されている場合に、そのホスト上の全サービスの管理を委譲されたわけではありません。委譲は個別に行われる必要があります。

17.1. サービス管理の委譲
リンクのコピー

service-add-host ユーティリティーを使用してサービスの制御をホストに委譲します。 
# ipa service-add-host principal --hosts=hostname
Copy to Clipboard Toggle word wrap
サービスを委譲するには、2 つの部分があります。
  • principal 引数を使用したプリンシパルの指定
  • --hostsオプションを使用して、制御でホストを特定します。
以下に例を示します。 
[root@server ~]# ipa service-add HTTP/web.example.com
[root@server ~]# ipa service-add-host HTTP/web.example.com --hosts=client1.example.com
Copy to Clipboard Toggle word wrap
ホストに権限が委譲されると、ホストプリンシパルを使用してサービスを管理できます。 
[root@client1 ~]# kinit -kt /etc/krb5.keytab host/client1.example.com
[root@client1 ~]# ipa-getkeytab -s server.example.com -k /tmp/test.keytab -p HTTP/web.example.com
Keytab successfully retrieved and stored in: /tmp/test.keytab
Copy to Clipboard Toggle word wrap
このサービスのチケットを作成するには、委譲された認証局を使用してホストで証明書要求を作成します。 
[root@client1]# kinit -kt /etc/krb5.keytab host/client1.example.com
[root@client1]# openssl req -newkey rsa:2048 -subj '/CN=web.example.com/O=EXAMPLE.COM' -keyout /etc/pki/tls/web.key -out /tmp/web.csr -nodes
Generating a 2048 bit RSA private key
.............................................................+++
............................................................................................+++
Writing new private key to '/etc/pki/tls/private/web.key'
Copy to Clipboard Toggle word wrap
cert-request ユーティリティーを使用してサービスエントリーを作成し、認定情報を読み込みます。 
[root@client1]# ipa cert-request --principal=HTTP/web.example.com web.csr
Certificate: MIICETCCAXqgA...[snip]
Subject: CN=web.example.com,O=EXAMPLE.COM
Issuer: CN=EXAMPLE.COM Certificate Authority
Not Before: Tue Feb 08 18:51:51 2011 UTC
Not After: Mon Feb 08 18:51:51 2016 UTC
Serial number: 1005
Copy to Clipboard Toggle word wrap
証明書要求の作成と ipa cert-request の使用方法は、「ユーザー、ホスト、またはサービスの新規証明書の要求」 を参照してください。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat