2.3. IdM サーバーのインストール: 概要
注記
以下のセクションのインストール手順と例は合わせて使用できます。手順と例を組み合わせて、必要な結果を得ることができます。たとえば、統合 DNS と、外部でホストされるルート CA のあるサーバーをインストールできます。
ipa-server-install ユーティリティーは、IdM サーバーをインストールし、設定します。
サーバーをインストールする前に、以下のセクションを参照してください。
ipa-server-install ユーティリティーは、非対話型インストールモードで、自動化および無人サーバーの設定が可能です。詳細は、「非対話形式でのサーバーのインストール」を参照してください。
ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。
2.3.1. 統合 DNS を使用するかどうかの決定
IdM は、統合 DNS があるサーバーまたは統合 DNS のないサーバーのインストールに対応します。
- 統合 DNS サービスを備えた IdM サーバー
- IdM が提供する統合 DNS サーバーは、汎用 DNS サーバーとして使用するように設計されていません。IdM のデプロイメントとメンテナンスに関連する機能のみに対応します。高度な DNS 機能の一部には対応していません。Red Hat では、IdM デプロイメントにおける基本的な使用のために IdM 統合 DNS を強く推奨します。IdM サーバーが DNS も管理する場合には、DNS とネイティブの IdM ツールが密接に統合されるため、DNS レコード管理の一部が自動化できます。IdM サーバーがマスター DNS サーバーとして使用されている場合でも、その他の外部 DNS サーバーはスレーブサーバーとしても使用できます。たとえば、環境がすでに Active Directory 統合 DNS サーバーなどの別の DNS サーバーを使用している場合には、IdM のプライマリードメインのみを IdM 統合 DNS に委譲できます。DNS ゾーンを IdM 統合 DNS に移行する必要はありません。注記SAN (Subject Alternative Name) 拡張機能の IP アドレスを使用して IdM クライアントの証明書を発行する必要がある場合は、IdM 統合 DNS サービスを使用する必要があります。統合 DNS のあるサーバーをインストールするには、「統合 DNS を使用したサーバーのインストール」 を参照してください。
- 統合 DNS サービスのない IdM サーバー
- 外部 DNS サーバーは、DNS サービスを提供するために使用されます。以下の状況では、DNS を使用せずに IdM サーバーをインストールすることを検討してください。
- IdM DNS のスコープを超える高度な DNS 機能が必要な場合
- 外部の DNS サーバーを使用できるようにする、適切に確立された DNS インフラストラクチャーがある環境
統合 DNS のないサーバーをインストールするには、 「統合 DNS を使用しないサーバーのインストール」 を参照してください。
重要
お使いのシステムが 「ホスト名および DNS 設定」 に記載されている DNS 要件を満たしていることを確認してください。
統合または外部 DNS のメンテナンス要件
統合 DNS サーバーを使用する場合には、ほとんどの DNS レコードのメンテナンスは自動化されます。必要な作業は以下のとおりです。
- 親ドメインから IdM サーバーに正しい委譲を設定するたとえば、IdM ドメイン名が
ipa.example.comの場合は、example.comドメインから適切に委譲する必要があります。注記以下のコマンドを使用して委譲を確認できます。# dig @IP_address +norecurse +short ipa.example.com. NS
ip_address は、example.comDNS ドメインを管理するサーバーの IP アドレスです。委譲が正しい場合は、このコマンドは DNS サーバーがインストールされている IdM サーバーを表示します。
外部 DNS サーバーを使用する場合は、以下を行う必要があります。
- DNS サーバーに新規ドメインを手動で作成する
- IdM インストーラーが生成したゾーンファイルのレコードをもとに新しいドメインを手動で入力する
- レプリカのインストールまたは削除後にレコードを手動で更新する。また、Active Directory 信頼が設定された後など、サービス設定の変更後にレコードを手動で更新する。
DNS アンプ攻撃の防止
IdM 統合 DNS サーバーのデフォルト設定により、すべてのクライアントが DNS サーバーに再帰クエリーを発行できます。信頼できないクライアントが含まれるネットワークにサーバーがデプロイされている場合は、サーバー設定を変更して、承認されたクライアントにのみ再帰を制限します。[1]
承認されたクライアントのみが再帰クエリーを発行できるようにするには、サーバーの
/etc/named.conf ファイルに適切なアクセス制御リスト (ACL) ステートメントを追加します。以下に例を示します。
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
allow-query { any; };
allow-recursion { authorized; };
};2.3.2. 使用する CA 設定の決定
IdM は、統合 IdM 認証局 (CA) を使用した、または使用しないサーバーのインストールに対応します。
- 統合 IdM CA を使用するサーバー
- これは、ほとんどのデプロイメントに適したデフォルト設定です。証明書システムは、CA 署名 証明書を使用して、IdM ドメインで証明書を作成して署名します。警告Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「失われた CA サーバーの復旧」を参照してください。IdM CA 署名証明書は、
自己署名と呼ばれるルート CA か、外部 CA で署名することもできます。- IdM CA はルート CA です。
- これがデフォルト設定になります。この設定でサーバーをインストールするには、「統合 DNS を使用したサーバーのインストール」 および 「統合 DNS を使用しないサーバーのインストール」 を参照してください。
- 外部 CA はルート CA です。
- IdM CA は、外部 CA の下位局になります。ただし、IdM ドメインのすべての証明書は、証明書システムインスタンスにより引き続き発行されます。外部 CA は、Verisign や Thawte などの企業 CA またはサードパーティーの CA です。外部 CA は、ルート CA または下位 CA です。IdM ドメイン内で発行された証明書には、証明書を発行できるドメインなど、外部ルート CA 証明書または中間 CA 証明書が指定する制限が適用される可能性があります。外部ホストのルート CA を備えたサーバーをインストールするには、「外部 CA をルート CA として使用するサーバーのインストール」 を参照してください。
- CA を使用しないサーバー
- この設定オプションは、インフラストラクチャー内の制限がサーバーに証明書サービスをインストールできない場合など、非常にまれなケースに適しています。インストール前に、サードパーティーの認証局からこれらの証明書を要求する必要があります。
- LDAP サーバー証明書および秘密鍵
- Apache サーバー証明書および秘密鍵
- LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
警告統合 IdM CA を使用せずに証明書を管理すると、メンテナンスの負担が大きくなります。たとえば、IdM サーバーの Apache Web サーバーおよび LDAP サーバー証明書を手動で管理する必要があります。これには、以下のものが含まれます。- 証明書を作成してアップロードする。
- 証明書の有効期限を監視する。
certmongerサービスでは、統合 CA を使用せずに IdM がインストールされている場合には証明書は追跡されない点に注意してください。 - 有効期限が切れる前に証明書を更新してサービスが停止されないようにする。
統合 CA のないサーバーをインストールするには、「CA なしでのインストール」を参照してください。注記CA を使用せずに IdM ドメインをインストールする場合は、後で CA サービスをインストールできます。既存の IdM ドメインに CA をインストールするには、「既存の IdM ドメインへの CA のインストール」 を参照してください。
2.3.3. 統合 DNS を使用したサーバーのインストール
注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
統合 DNS のあるサーバーをインストールするには、インストールプロセス時に以下の情報を指定します。
- DNS フォワーダー
- 以下の DNS フォワーダー設定がサポートされます。
- 1 つ以上のフォワーダー (非対話型インストールの
--forwarderオプション) - フォワーダーなし (非対話型インストールの
--no-forwardersオプション)
DNS 転送を使用するかどうか不明な場合は、「DNS 転送の管理」 を参照してください。 - 逆引き DNS ゾーン
- 以下の逆引き DNS ゾーン設定がサポートされます。
- IdM DNS で作成する必要がある逆引きゾーンの自動検出 (対話型インストールの場合は
--auto-reverseオプションのデフォルト設定) - 逆引きゾーンの自動検出なし (対話型インストールの
--no-reverseオプション)
--auto-reverseオプションが設定されている場合には、--allow-zone-overlapオプションは無視されます。オプションの組み合わせの使用:$ ipa-server-install --auto-reverse --allow-zone-overlap
そのため、別の DNS サーバーなどで、既存の DNS ゾーンと重複する 逆引きゾーン は作成されません。
非対話的なインストールでは
--setup-dns オプションも追加します。
例2.1 統合 DNS を使用したサーバーのインストール
この手順では、以下のサーバーをインストールします。
- 統合 DNS のあるサーバー
- 統合 IdM CA をルート CA とするサーバー (デフォルトの CA 設定)
- ipa-server-install ユーティリティーを実行します。
# ipa-server-install
- スクリプトにより、統合 DNS サービスの設定が求められます。
yesを入力します。Do you want to configure integrated DNS (BIND)? [no]:
yes - このスクリプトで、必要な設定を入力するように求められます。
- 括弧内のデフォルト値をそのまま使用するには、Enter を押します。
- 提案されたデフォルト値とは異なる値を指定するには、必要な値を入力します。
Server host name [server.example.com]: Please confirm the domain name [example.com]: Please provide a realm name [EXAMPLE.COM]:
警告Red Hat では、Kerberos レルム名がプライマリー DNS ドメイン名と同じで、すべて大文字にすることを強く推奨します。たとえば、プライマリー DNS ドメインがipa.example.comの場合は、Kerberos レルム名としてIPA.EXAMPLE.COMを使用します。異なる命名プラクティスを使用すると、Active Directory の信頼を使用できなくなるなど、悪影響をもたらします。 - Directory Server のスーパーユーザー (
cn=Directory Manager)、および IdM システムユーザーアカウント (admin) のパスワードを入力します。Directory Manager password: IPA admin password:
- DNS フォワーダー設定のスクリプトプロンプトが表示されます。
Do you want to configure DNS forwarders? [yes]:
- DNS フォワーダーを設定するには、
yesを入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、インストールした IdM サーバーの/etc/named.confファイルに、フォワーダーの IP アドレスが追加されます。- 転送ポリシーのデフォルト設定については、ipa-dns-install(1) man ページの
--forward-policyの説明を参照してください。 - 詳細は、「フォワードポリシー」 も参照してください。
- DNS 転送を使用しない場合は、
noと入力します。
- そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
Do you want to search for missing reverse zones? [yes]:
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。Do you want to create reverse zone for IP 192.0.2.1 [yes]: Please specify the reverse zone name [2.0.192.in-addr.arpa.]: Using reverse zone(s) 2.0.192.in-addr.arpa.
注記オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。 - サーバー設定をする場合は、
yesと入力します。Continue to configure the system with these values? [no]:
yes - インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
- 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが
ipa.example.comの場合は、ネームサーバー (NS) レコードを親ドメインexample.comに追加します。重要この手順は、IdM DNS サーバーをインストールするたびに繰り返す必要があります。
このスクリプトでは、CA 証明書をバックアップして必要なネットワークポートが開いていることの確認が推奨されます。IdM ポートの要件と、これらのポートを開く方法は、「ポートの要件」 を参照してください。
新しいサーバーをテストするには、以下を行います。
- admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、
adminが適切に設定され、Kerberos レルムにアクセスできることを確認します。# kinit admin
- ipa user-find などのコマンドを実行します。新しいサーバーでは、このコマンドは、設定したユーザー (
admin) のみを出力します。# ipa user-find admin -------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 939000000 GID: 939000000 Account disabled: False Password: True Kerberos keys available: True ---------------------------- Number of entries returned 1 ----------------------------
2.3.4. 統合 DNS を使用しないサーバーのインストール
注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
統合 DNS を使用せずにサーバーをインストールするには、DNS 関連のオプションを指定せずに
ipa-server-install ユーティリティーを実行します。
例2.2 統合 DNS を使用しないサーバーのインストール
この手順では、以下のサーバーをインストールします。
- 統合 DNS のないサーバー
- 統合 IdM CA をルート CA とするサーバー (デフォルトの CA 設定)
ipa-server-installユーティリティーを実行します。# ipa-server-install
- スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、
noオプションを選択します。Do you want to configure integrated DNS (BIND)? [no]:
- このスクリプトで、必要な設定を入力するように求められます。
- 括弧内のデフォルト値をそのまま使用するには、Enter を押します。
- 提案されたデフォルト値とは異なる値を指定するには、必要な値を入力します。
Server host name [server.example.com]: Please confirm the domain name [example.com]: Please provide a realm name [EXAMPLE.COM]:
警告Red Hat では、Kerberos レルム名がプライマリー DNS ドメイン名と同じで、すべて大文字にすることを強く推奨します。たとえば、プライマリー DNS ドメインがipa.example.comの場合は、Kerberos レルム名としてIPA.EXAMPLE.COMを使用します。異なる命名プラクティスを使用すると、Active Directory の信頼を使用できなくなるなど、悪影響をもたらします。 - Directory Server のスーパーユーザー (
cn=Directory Manager)、および IdM システムユーザーアカウント (admin) のパスワードを入力します。Directory Manager password: IPA admin password:
- サーバー設定をする場合は、
yesと入力します。Continue to configure the system with these values? [no]:
yes - インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
- インストールスクリプトは、以下の出力例の DNS リソースレコード でファイル (
/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...重要既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
このスクリプトでは、CA 証明書をバックアップして必要なネットワークポートが開いていることの確認が推奨されます。IdM ポートの要件と、これらのポートを開く方法は、「ポートの要件」 を参照してください。
新しいサーバーをテストするには、以下を行います。
- admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、
adminが適切に設定され、Kerberos レルムにアクセスできることを確認します。# kinit admin
- ipa user-find などのコマンドを実行します。新しいサーバーでは、このコマンドは、設定したユーザー (
admin) のみを出力します。# ipa user-find admin -------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 939000000 GID: 939000000 Account disabled: False Password: True Kerberos keys available: True ---------------------------- Number of entries returned 1 ----------------------------
2.3.5. 外部 CA をルート CA として使用するサーバーのインストール
注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
サーバーをインストールし、外部 CA をルート CA として連携させるには、
ipa-server-install ユーティリティーでこのオプションを指定します。
--external-caは、外部 CA を使用するように指定します。--external-ca-typeは、外部 CA のタイプを指定します。詳細は ipa-server-install(1) の man ページを参照してください。
それ以外のインストール手順はほぼ、「統合 DNS を使用したサーバーのインストール」 または 「統合 DNS を使用しないサーバーのインストール」 と同じです。
Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (
/root/ipa.csr) を出力します。
...
Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
[1/8]: creating certificate server user
[2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
この場合は、以下を行います。
/root/ipa.csrにある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。重要証明書の適切な拡張を要求する必要があります。Identity Management 用に生成された CA 署名証明書は、有効な CA 証明書である必要があります。そのためには、基本的な制約エクステンションのCAパラメーターを true に設定する必要があります。詳細は、『RFC 5280』 の『基本的な制約』 のセクションを参照してください。- 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。重要CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
- 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して
ipa-server-installを再度実行します。以下に例を示します。# ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
注記
ipa-server-install --external-ca コマンドは、次のエラーにより失敗する場合があります。
ipa : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1 Configuration of CA failed
この失敗は、
*_proxy 環境変数が設定されていると発生します。この問題を解決するには、「外部 CA のインストールに失敗する」 を参照してください。
2.3.6. CA なしでのインストール
注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
CA を使用せずにサーバーをインストールするには、
ipa-server-install ユーティリティーにオプションを追加して、必要な証明書を手動で指定する必要があります。これ以外のインストール手順はほぼ、「統合 DNS を使用したサーバーのインストール」 または 「統合 DNS を使用しないサーバーのインストール」 と同じです。
重要
自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。
CA なしで IdM サーバーをインストールするために必要な証明書
CA なしで IdM サーバーをインストールするには、以下の証明書を指定する必要があります。
- 以下のオプションを使用して LDAP サーバー証明書および秘密鍵を指定します。
--dirsrv-cert-file- LDAP サーバー証明書の証明書ファイルおよび秘密鍵ファイル。--dirsrv-pin---dirsrv-cert-fileに指定されたファイルにある秘密鍵にアクセスするパスワード。
- 以下のオプションを使用して Apache サーバー証明書および秘密鍵を指定します。
--http-cert-file- Apache サーバー証明書の証明書および秘密鍵ファイル。--http-pin---http-cert-fileに指定したファイルにある秘密鍵にアクセスするパスワード。
- 以下のオプションを使用して、LDAP および Apache サーバー証明書を発行した CA の完全な CA 証明書チェーンを指定します。
--dirsrv-cert-fileおよび--http-cert-file- 完全な CA 証明書チェーンまたはその一部が含まれる証明書ファイル。以下の形式の--dirsrv-cert-fileオプションおよび--http-cert-fileオプションを指定して、ファイルを指定できます。- PEM (Privacy-Enhanced Mail) がエンコードした証明書 (RFC 7468)。IdM インストーラーでは、連結した PEM エンコードオブジェクトを使用できることに注意してください。
- 識別名エンコーディングルール (DER)
- PKCS #7 証明書チェーンオブジェクト
- PKCS #8 秘密鍵オブジェクト
- PKCS #12 アーカイブ
--dirsrv-cert-fileオプションおよび--http-cert-fileオプションを複数回指定して、複数のファイルを指定できます。
- 必要に応じて、このオプションを使用して完全な CA 証明書チェーンを完了するための証明書ファイルを指定します。
--ca-cert-file- このオプションは複数回追加できます。
- オプションで、このオプションを使用して外部 Kerberos 鍵配布センター (KDC) の PKINIT 証明書を提供する証明書ファイルを指定します。
--pkinit-cert-file- Kerberos KDC SSL の証明書および秘密鍵を提供します。--pkinit-pin- Kerberos KDC の秘密鍵のロックを解除するパスワード。
PKINIT 証明書を提供しないと、ipa-server-installは自己署名証明書を使用するローカル KDC で IdM サーバーを設定します。詳細は、27章IdM の Kerberos PKINIT 認証を参照してください。
--ca-cert-file を使用して提供されるファイルと、--dirsrv-cert-file と --http-cert-file を使用して提供されるファイルには、LDAP および Apache のサーバー証明書を発行した CA の完全 CA 証明書チェーンが含まれる必要があります。
このオプションで使用できる証明書ファイル形式の詳細は、ipa-server-install(1) man ページを参照してください。
注記
表示されたコマンドラインオプションは、
--external-ca オプションと互換性がありません。
注記
Identity Management の以前のバージョンでは、
--root-ca-file オプションを使用してルート CA 証明書の PEM ファイルを指定していました。信頼される CA は常に DS および HTTP サーバー証明書の発行者であるため、これは不要になりました。IdM は、--dirsrv-cert-file、--http-cert-file および --ca-cert-file で指定された証明書をもとに、ルート CA 証明書を自動的に認識するようになりました。
例2.3 CA なしで IdM サーバーをインストールするコマンドの例
[root@server ~]# ipa-server-install \
--http-cert-file /tmp/server.crt \
--http-cert-file /tmp/server.key \
--http-pin secret \
--dirsrv-cert-file /tmp/server.crt \
--dirsrv-cert-file /tmp/server.key \
--dirsrv-pin secret \
--ca-cert-file ca.crt2.3.7. 非対話形式でのサーバーのインストール
注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
非対話型インストールで最低限必要なオプションは次のとおりです。
--ds-password- Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。--admin-password- IdM 管理者であるadminのパスワードを指定します。--realm- Kerberos レルム名を指定します。--unattended- インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。
必要に応じて、これらの設定にカスタム値を指定できます。
--hostname: サーバーホスト名--domain: ドメイン名
--dirsrv-config-file パラメーターを使用して、カスタム値を持つ LDIF ファイルへのパスを指定すると、デフォルトの Directory Server 設定を変更することもできます。詳細は、『Release Notes for Red Hat Enterprise Linux 7.3』のIdM now supports setting individual Directory Server options during server or replica installationを参照してください。
警告
Red Hat では、Kerberos レルム名がプライマリー DNS ドメイン名と同じで、すべて大文字にすることを強く推奨します。たとえば、プライマリー DNS ドメインが
ipa.example.com の場合は、Kerberos レルム名として IPA.EXAMPLE.COM を使用します。
異なる命名プラクティスを使用すると、Active Directory の信頼を使用できなくなるなど、悪影響をもたらします。
ipa-server-install で使用できるオプションの完全リストを表示するには、ipa-server-install --help コマンドを実行します。
例2.4 非対話式の基本的なインストール
ipa-server-installユーティリティーを実行し、必要な設定を指定します。たとえば、以下は、統合 DNS あり、統合 CA なしで、サーバーをインストールします。# ipa-server-install --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
- 設定スクリプトで、サーバーが設定されるようになりました。動作が完了するまで待ちます。
- インストールスクリプトは、以下の出力例の DNS リソースレコード でファイル (
/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...重要既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
このスクリプトでは、CA 証明書をバックアップして必要なネットワークポートが開いていることの確認が推奨されます。IdM ポートの要件と、これらのポートを開く方法は、「ポートの要件」 を参照してください。
新しいサーバーをテストするには、以下を行います。
- admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、
adminが適切に設定され、Kerberos レルムにアクセスできることを確認します。# kinit admin
- ipa user-find などのコマンドを実行します。新しいサーバーでは、このコマンドは、設定したユーザー (
admin) のみを出力します。# ipa user-find admin -------------- 1 user matched -------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 939000000 GID: 939000000 Account disabled: False Password: True Kerberos keys available: True ---------------------------- Number of entries returned 1 ----------------------------
