Red Hat Summit6.3. Red Hat Directory Server をインストールするための前提条件
PKI サブシステムをインストールする前に、特定の前提条件が満たされていることを確認する必要があります。すべてのシステムには、完全修飾ドメイン名 (FQDN) が正しく設定されている必要があります。
さらに、すべての Certificate System インスタンスのインストールごとに、Directory Server インスタンスをインストールする必要があります。このインスタンスは、Certificate System インスタンスとは別のホスト上に存在する可能性が高いため、ホスト名が正しく設定され、Certificate System インスタンスホストによって認識されることを確認する必要があります。
6.3.1. FQDN 設定
PKI システムを適切に機能させるには、システム内の各マシンに正しい完全修飾ドメイン名が必要です。
各マシンで完全修飾ドメイン名を設定するには、次のプロセスを実行します。
6.3.1.1. FQDN の検証
現在の FQDN を確認するには、次のコマンドを実行します。
# hostname
pki.example.com6.3.1.2. FQDN の設定
ホスト名が予想と異なる場合は、hostnamectl を実行してホスト名を設定します。以下に例を示します。
pki マシンのホスト名を次のように設定します。
# hostnamectl set-hostname pki.example.comDS マシンのホスト名を次のように設定します。
# hostnamectl set-hostname dir.example.comCS マシンと DS マシンの IP アドレスと新しいホスト名を、両方のマシンの
/etc/hostsのエントリーとして追加します。127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 10.1.111.111 pki.example.com 10.2.222.222 dir.example.com変更してから FQDN を再度確認します。
# hostname
6.3.2. Red Hat Directory Server のインストール
Red Hat Certificate System は、Red Hat Directory Server を使用して、システム証明書とユーザーデータを保存します。Directory Server と Certificate System の両方を、ネットワーク内の同じホストまたは異なるホストにインストールできます。
Directory Server をホストしている RHEL システムで FIPS モードを有効にする場合は、Directory Server をインストールする前に、RHEL ホストで FIPS モードを有効にする必要があります。
FIPS モードが有効になっていることを確認するには、以下を実行します。
# sysctl crypto.fips_enabled
返された値が 1 の場合、FIPS モードは有効です。
6.3.2.1. Directory Server パッケージのインストール
Red Hat Directory Server パッケージをインストールするには、次の手順を実行します。
subscription-manager release --setコマンドを使用して、RHEL バージョンを 8.10 に固定します。以下に例を示します。# subscription-manager release --list # subscription-manager release --set 8.10検証:
subscription-manager release --show- Directory Server を提供するサブスクリプションがホストに登録されていることを確認してください。
Directory Server パッケージリポジトリーを有効にします。
# subscription-manager repos --enable=dirsrv-11.9-for-rhel-8-x86_64-rpmsDirectory Server と openldap-clients パッケージをインストールします。
# dnf module install redhat-ds:11
6.3.2.2. Directory Server インスタンスの作成
注記: DS インスタンスをインストールする前に、次の手順が実行されていることを確認してください。
- DS パッケージのインストール - DS ホストシステムで実行
- ホストシステムの FQDN の設定 - DS および PKI のホストシステムで実行
PKI サーバー用のローカル DS インスタンスを準備するには、次のプロセスに従います。
注記: DS のインストールにより、SSL 接続用のブートストラップサーバー証明書を発行するブートストラップ自己署名付き証明書が自動的に生成されます。PKI インストールでは、これにより提供されるセキュリティーを利用してインストールを完了します。ブートストラップサーバー証明書は、インストール後の手順として実際の CA により発行されたサーバー証明書に置き換えることができます。
ブートストラップ証明書の生成と SSL 接続を無効にする場合は、以下の sed コマンドで self_sign_cert = False を設定します。ブートストラップ証明書を使用して DS で SSL 接続を有効にする の手順に従って、後から SSL を有効にすることもできます。
6.3.2.2.1. DS インスタンスの作成
6.3.2.2.1.1. DS 設定ファイル (例: ds.inf) を生成します。
$ dscreate create-template ds.infDS 設定ファイルを次のようにカスタマイズします。
$ sed -i \
-e "s/^;instance_name = .*/instance_name = localhost/" \
-e "s/^;root_password = .*/root_password = Secret.123/" \
-e "s/^;suffix = .*/suffix = dc=example,dc=com/" \
-e "s/^;create_suffix_entry = .*/create_suffix_entry = True/" \
-e "s/^;self_sign_cert = .*/self_sign_cert = True/" \
ds.inf詳細は、以下のとおりです。
-
instance_name は、DS インスタンスの名前を指定します。この例では、
localhostに設定されています。 -
root_password は、DS 管理者のパスワード (
cn=Directory Manager) を指定します。この例ではSecret.123に設定されています。 -
suffix は、DS インスタンスの名前空間を指定します。この例では、
dc=example,dc=comに設定されています。 self_sign_cert は、SSL 接続用に自己署名証明書を作成するかどうかを指定します。この例では
Trueに設定されています。SSL 接続が有効になっています。詳細は、DS 設定ファイル (
ds.inf) と DS ドキュメント に記載されているパラメーターの説明を参照してください。
詳細は、DS 設定ファイル (ds.inf) および DS ドキュメント に記載されているパラメーターの説明を参照してください。
6.3.2.2.1.2. インスタンスの作成
最後に、インスタンスを作成します。
$ dscreate from-file ds.inf6.3.2.2.2. PKI サブツリーの作成
注記: dc=pki,dc=example,dc=com サブツリーは必須ではありませんが、同じ DS インスタンスを共有する他のアプリケーションとの競合を避けるために強く推奨されます。
最初は DS インスタンスは空です。LDAP クライアントを使用して、ルートエントリーと PKI ベースエントリーを追加します。以下はその例です。
$ ldapadd -H ldap://$HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 << EOF
dn: dc=pki,dc=example,dc=com
objectClass: domain
dc: pki
EOF各 PKI サブシステムのサブツリーは、サブシステムのインストール時に作成されます。すべての PKI サブシステムが作成されると、LDAP ツリーは次のようになります。
dc=example,dc=com
+ dc=pki
+ dc=ca
+ dc=kra
+ dc=ocsp
+ dc=tks
+ dc=tps
+ dc=acme
+ dc=est6.3.2.2.3. SSL 接続を有効にする
以前に self_sign_cert = False を設定したことがあり、SSL 接続を使用して DS に PKI をインストールするためにブートストラップ証明書を作成する必要がある場合は、DS で SSL 接続を有効にする に従ってください。
注記: ブートストラップサーバー証明書は、インストール後の手順として実際の CA により発行されたサーバー証明書に置き換えることができます。
6.3.2.2.4. レプリケーションの設定
DS レプリケーションの設定 を参照してください。
6.3.2.2.5. DS インスタンスの削除
DS インスタンスを削除するには、以下を実行します。
$ dsctl localhost remove --do-it6.3.2.2.6. ログファイル
DS ログファイルは /var/log/dirsrv/slapd-localhost にあります。
- access
- audit
- errors
6.3.2.2.7. 関連情報
6.3.2.3. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化
Certificate System をインストールおよび更新する前に、対応するリポジトリーを有効にする必要があります。
subscription-manager release --setコマンドを使用して、RHEL バージョンを 8.10 に固定します。以下に例を示します。# subscription-manager release --list # subscription-manager release --set 8.10検証:
subscription-manager release --showRed Hat サブスクリプションをシステムにアタッチします。
システムがすでに登録されているか、Certificate System を提供するサブスクリプションが割り当てられている場合は、この手順をスキップしてください。
システムを Red Hat サブスクリプション管理サービスに登録する
--auto-attachオプションを使用して、オペレーティングシステムに利用可能なサブスクリプションを自動的に適用します。# subscription-manager register --auto-attach Username: admin@example.com Password: The system has been registered with id: 566629db-a4ec-43e1-aa02-9cbaa6177c3f Installed Product Current Status: Product Name: Red Hat Enterprise Linux Server Status: Subscribed利用可能なサブスクリプションをリストし、Red Hat Certificate System を提供するプール ID をメモします。以下に例を示します。
# subscription-manager list --available --all ... Subscription Name: Red Hat Enterprise Linux Developer Suite Provides: ... Red Hat Certificate System ... Pool ID: 7aba89677a6a38fc0bba7dac673f7993 Available: 1 ...サブスクリプションが多数ある場合は、コマンドの出力が非常に長くなることがあります。必要に応じて、出力をファイルにリダイレクトできます。
# subscription-manager list --available --all > /root/subscriptions.txt前の手順でプール ID を使用して、Certificate System のサブスクリプションをシステムに割り当てます。
# subscription-manager attach --pool=7aba89677a6a38fc0bba7dac673f7993 Successfully attached a subscription for: Red Hat Enterprise Linux Developer Suite
Certificate System リポジトリーを有効にします。
# subscription-manager repos --enable certsys-10.x-for-rhel-8-x86_64-rpms Repository 'certsys-10-for-rhel-8-x86_64-rpms' is enabled for this system.Certificate System モジュールストリームを有効にします。
# dnf module enable redhat-pki
必要なパッケージのインストールについては、7章Red Hat Certificate System のインストールと設定 に記載されています。
コンプライアンスのために、Red Hat が承認したリポジトリーのみを有効にします。subscription-manager ユーティリティーを使用して有効にできるのは、Red Hat が承認したリポジトリーのみです。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}