6.4. Red Hat Directory Server のインストール

Red Hat Certificate System は、Red Hat Directory Server を使用して、システム証明書とユーザーデータを保存します。Directory Server と Certificate System の両方を、ネットワーク内の同じホストまたは異なるホストにインストールできます。

重要

Directory Server をホストしている RHEL システムで FIPS モードを有効にする場合は、Directory Server をインストールする前に、RHEL ホストで FIPS モードを有効にする必要があります。

FIPS モードが有効になっていることを確認するには、以下を実行します。

Copy to Clipboard Toggle word wrap

sysctl crypto.fips_enabled

# sysctl crypto.fips_enabled

返された値が 1 の場合、FIPS モードは有効です。

6.4.1. Directory Server パッケージのインストール

Red Hat Directory Server パッケージをインストールするには、次の手順を実行します。

Directory Server を提供するサブスクリプションがホストに登録されていることを確認してください。

Directory Server リポジトリーを有効にします。

Copy to Clipboard Toggle word wrap

subscription-manager repos --enable=dirsrv-11-for-rhel-8-x86_64-rpms

# subscription-manager repos --enable=dirsrv-11-for-rhel-8-x86_64-rpms

Directory Server と openldap-clients パッケージをインストールします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
dnf module install redhat-ds:11
```
```
# dnf module install redhat-ds:11
```
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
dnf install openldap-clients
```
```
# dnf install openldap-clients
```

6.4.2. Directory Server インスタンスの作成

注記: DS インスタンスをインストールする前に、次の手順が実行されていることを確認してください。

DS パッケージのインストール - DS ホストシステムで実行
ホストシステムの FQDN の設定 - DS および PKI のホストシステムで実行

PKI サーバー用のローカル DS インスタンスを準備するには、次のプロセスに従います。

注記: DS のインストールにより、SSL 接続用のブートストラップサーバー証明書を発行するブートストラップ自己署名付き証明書が自動的に生成されます。PKI インストールでは、これにより提供されるセキュリティーを利用してインストールを完了します。ブートストラップサーバー証明書は、インストール後の手順として実際の CA により発行されたサーバー証明書に置き換えることができます。

ブートストラップ証明書の生成と SSL 接続を無効にする場合は、以下の sed コマンドで self_sign_cert = False を設定します。ブートストラップ証明書を使用して DS で SSL 接続を有効にするの手順に従って、後から SSL を有効にすることもできます。

6.4.2.1. DS インスタンスの作成

6.4.2.1.1. DS 設定ファイル (例: `ds.inf`) を生成します。

Copy to Clipboard Toggle word wrap

dscreate create-template ds.inf

$ dscreate create-template ds.inf

DS 設定ファイルを次のようにカスタマイズします。

Copy to Clipboard Toggle word wrap

sed -i \
    -e "s/;instance_name = ./instance_name = localhost/g" \ -e "s/;root_password = ./root_password = Secret.123/g" \
    -e "s/;suffix = ./suffix = dc=example,dc=com/g" \ -e "s/;create_suffix_entry = ./create_suffix_entry = True/g" \
    -e "s/;self_sign_cert = .*/self_sign_cert = True/g" \
    ds.inf

$ sed -i \
    -e "s/;instance_name = ./instance_name = localhost/g" \ -e "s/;root_password = ./root_password = Secret.123/g" \
    -e "s/;suffix = ./suffix = dc=example,dc=com/g" \ -e "s/;create_suffix_entry = ./create_suffix_entry = True/g" \
    -e "s/;self_sign_cert = .*/self_sign_cert = True/g" \
    ds.inf

以下は、

instance_name は、DS インスタンスの名前を指定します。この例では、localhost に設定されています。
root_password は、DS 管理者のパスワード (cn=Directory Manager) を指定します。この例では Secret.123 に設定されています。
suffix は、DS インスタンスの名前空間を指定します。この例では、dc=example,dc=com に設定されています。
self_sign_cert は、SSL 接続用に自己署名証明書を作成するかどうかを指定します。この例では True に設定されています。SSL 接続が有効になっています。

詳細は、DS 設定ファイル (ds.inf) および DS ドキュメントに記載されているパラメーターの説明を参照してください。

6.4.2.1.2. インスタンスの作成

最後に、インスタンスを作成します。

Copy to Clipboard Toggle word wrap

dscreate from-file ds.inf

$ dscreate from-file ds.inf

6.4.2.2. PKI サブツリーの作成

最初は DS インスタンスは空です。LDAP クライアントを使用して、ルートエントリーと PKI ベースエントリーを追加します。以下はその例です。

Copy to Clipboard Toggle word wrap

ldapadd -H ldap://$HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 << EOF
dn: dc=pki,dc=example,dc=com
objectClass: domain
dc: pki
EOF

$ ldapadd -H ldap://$HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 << EOF
dn: dc=pki,dc=example,dc=com
objectClass: domain
dc: pki
EOF

各 PKI サブシステムのサブツリーは、サブシステムのインストール時に作成されます。すべての PKI サブシステムが作成されると、LDAP ツリーは次のようになります。

Copy to Clipboard Toggle word wrap

dc=example,dc=com
+ dc=pki
  + dc=ca
  + dc=kra
  + dc=ocsp
  + dc=tks
  + dc=tps
  + dc=acme
  + dc=est

dc=example,dc=com
+ dc=pki
  + dc=ca
  + dc=kra
  + dc=ocsp
  + dc=tks
  + dc=tps
  + dc=acme
  + dc=est

6.4.2.3. SSL 接続を有効にする

以前に self_sign_cert = False を設定したことがあり、SSL 接続を使用して DS に PKI をインストールするためにブートストラップ証明書を作成する必要がある場合は、DS で SSL 接続を有効にするに従ってください。

注記: ブートストラップサーバー証明書は、インストール後の手順として実際の CA により発行されたサーバー証明書に置き換えることができます。

6.4.2.4. レプリケーションの設定

DS レプリケーションの設定を参照してください。

6.4.2.5. DS インスタンスの削除

DS インスタンスを削除するには、以下を実行します。

Copy to Clipboard Toggle word wrap

dsctl localhost remove --do-it

$ dsctl localhost remove --do-it

6.4.2.6. ログファイル

DS ログファイルは /var/log/dirsrv/slapd-localhost にあります。

access
audit
errors

6.4.2.7. 関連情報

TLS/SSL が有効な 389 Directory Server の設定

6.4.3. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化

Certificate System をインストールおよび更新する前に、対応するリポジトリーを有効にする必要があります。

Red Hat サブスクリプションをシステムにアタッチします。
システムがすでに登録されているか、Certificate System を提供するサブスクリプションが割り当てられている場合は、この手順をスキップしてください。
1. システムを Red Hat サブスクリプション管理サービスに登録する
  --auto-attach オプションを使用して、オペレーティングシステムに利用可能なサブスクリプションを自動的に適用します。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
subscription-manager register --auto-attach
```
```
# subscription-manager register --auto-attach
Username: admin@example.com
Password:
The system has been registered with id: 566629db-a4ec-43e1-aa02-9cbaa6177c3f

Installed Product Current Status:
Product Name:           Red Hat Enterprise Linux Server
Status:                 Subscribed
```
2. 利用可能なサブスクリプションをリストし、Red Hat Certificate System を提供するプール ID をメモします。以下に例を示します。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
subscription-manager list --available --all
```
```
# subscription-manager list --available --all
...
Subscription Name:   Red Hat Enterprise Linux Developer Suite
Provides:            ...
                     Red Hat Certificate System
                     ...
Pool ID:             7aba89677a6a38fc0bba7dac673f7993
Available:           1
...
```
  サブスクリプションが多数ある場合は、コマンドの出力が非常に長くなることがあります。必要に応じて、出力をファイルにリダイレクトできます。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
subscription-manager list --available --all > /root/subscriptions.txt
```
```
# subscription-manager list --available --all > /root/subscriptions.txt
```
3. 前の手順でプール ID を使用して、Certificate System のサブスクリプションをシステムに割り当てます。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
subscription-manager attach --pool=7aba89677a6a38fc0bba7dac673f7993
```
```
# subscription-manager attach --pool=7aba89677a6a38fc0bba7dac673f7993
Successfully attached a subscription for: Red Hat Enterprise Linux Developer Suite
```

Certificate System リポジトリーを有効にします。

Copy to Clipboard Toggle word wrap

subscription-manager repos --enable certsys-10.x-for-rhel-8-x86_64-rpms

# subscription-manager repos --enable certsys-10.x-for-rhel-8-x86_64-rpms
Repository 'certsys-10-for-rhel-8-x86_64-rpms' is enabled for this system.

Certificate System モジュールストリームを有効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
dnf module enable redhat-pki
```
```
# dnf module enable redhat-pki
```

必要なパッケージのインストールについては、7章Red Hat Certificate System のインストールと設定 に記載されています。

注記

コンプライアンスのために、Red Hat が承認したリポジトリーのみを有効にします。subscription-manager ユーティリティーを使用して有効にできるのは、Red Hat が承認したリポジトリーのみです。

トップに戻る

6.4. Red Hat Directory Server のインストール

6.4.1. Directory Server パッケージのインストール

6.4.2. Directory Server インスタンスの作成

6.4.2.1. DS インスタンスの作成

6.4.2.1.1. DS 設定ファイル (例: `ds.inf`) を生成します。

6.4.2.1.2. インスタンスの作成

6.4.2.2. PKI サブツリーの作成

6.4.2.3. SSL 接続を有効にする

6.4.2.4. レプリケーションの設定

6.4.2.5. DS インスタンスの削除

6.4.2.6. ログファイル

6.4.2.7. 関連情報

6.4.3. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4. Red Hat Directory Server のインストール

6.4.1. Directory Server パッケージのインストール

6.4.2. Directory Server インスタンスの作成

6.4.2.1. DS インスタンスの作成

6.4.2.1.1. DS 設定ファイル (例: ds.inf) を生成します。

6.4.2.1.2. インスタンスの作成

6.4.2.2. PKI サブツリーの作成

6.4.2.3. SSL 接続を有効にする

6.4.2.4. レプリケーションの設定

6.4.2.5. DS インスタンスの削除

6.4.2.6. ログファイル

6.4.2.7. 関連情報

6.4.3. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4.2.1.1. DS 設定ファイル (例: `ds.inf`) を生成します。