Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.4. シングルサインオンを使用する SSL 証明書の要求

Kerberos SSO を使用してサービスを保護するには、SSL 証明書にホストの A/AAAA レコードと CNAME レコードの両方が含まれている必要があります。IdM はデータベース内のホストオブジェクトにのみ証明書を発行するため、管理者が CNAME エイリアス用のホストエントリーを手動で作成してリンクさせる必要があります。

IdM に ipa-client.example.com のホストオブジェクトを作成し、実際の IdM マシンのホストオブジェクトがこのホストを管理できることを確認してください。

前提条件

  • Kerberos サーバーをターゲットとするために使用される Kerberos プリンシパルの厳密なチェックを無効にした。

手順

  1. IdM サーバー上で、AD 側のエイリアス用のホストエントリーを作成します。名前が A/AAAA レコードではなく CNAME に解決されるため、--force を使用します。 

    [root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force

  2. 物理的な IdM ホストが IdM データベース内の新しいエイリアスエントリーを管理できるように、ホストに管理権限を付与します。 

    [root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
      --hosts=idm-client.idm.example.com

  3. IdM クライアント上で、ipa-getcert を使用して証明書を要求します。-D フラグを使用して、FQDN と CNAME の両方を含めます。 

    [root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

    SSL/TLS では、クライアントはサブジェクト代替名 (SAN) フィールドを確認します。-D を 2 回使用することで、SAN フィールドに両方の名前が入力されます。これにより、ユーザーがどちらの URL にアクセスしても、証明書が有効なままとなります。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る