27.3. IdM での PKINIT の設定
IdM サーバーが PKINIT を無効にした状態で動作している場合は、以下の手順に従って有効にします。たとえば、
--no-pkinit
オプションを ipa-server-install
ユーティリティーまたは ipa-replica-install
ユーティリティーで渡した場合には、PKINIT が無効になります。
前提条件
- 認証局 (CA) がインストールされているすべての IdM サーバーが、同じドメインレベルで稼働していることを確認します。詳細は7章ドメインレベルの表示と引き上げを参照してください。
手順
- サーバーで PKINIT が有効になっているかどうかを確認します。
# kinit admin Password for admin@IPA.TEST: # ipa pkinit-status --server=server.idm.example.com ---------------- 1 server matched ---------------- Server name: server.idm.example.com PKINIT status: enabled ---------------------------- Number of entries returned 1 ----------------------------
PKINIT が無効になっている場合は、以下の出力が表示されます。# ipa pkinit-status --server server.idm.example.com ----------------- 0 servers matched ----------------- ---------------------------- Number of entries returned 0 ----------------------------
--server <server_fqdn> パラメーターを省略した場合は、コマンドを使用して PKINIT が有効になっているすべてのサーバー
を見つけることもできます。 - CA を使用せずに IdM を使用している場合は、次のコマンドを実行します。
- IdM サーバーで、Kerberos キー配布センター(KDC)証明書に署名した CA 証明書をインストールします。
# ipa-cacert-manage install -t CT,C,C ca.pem
- すべての IPA ホストを更新するには、すべてのレプリカおよびクライアントで ipa-certupdate コマンドを繰り返します。
# ipa-certupdate
- ipa-cacert-manage list コマンドを使用して、CA 証明書がすでに追加されているかどうかを確認します。以下に例を示します。
# ipa-cacert-manage list CN=CA,O=Example Organization The ipa-cacert-manage command was successful
- ipa-server-certinstall ユーティリティーを使用して、外部 KDC 証明書をインストールします。KDC 証明書は以下の条件を満たしている必要があります。
- これは、共通名
CN=fully_qualified_domain_name、certificate_subject_base
で発行されます。 - これには、Kerberos プリンシパル
krbtgt/REALM_NAME@REALM_NAME
が含まれます。 - KDC 認証のオブジェクト識別子 (OID) が含まれます:
1.3.6.1.5.2.3.5
。
# ipa-server-certinstall --kdc kdc.pem kdc.key # systemctl restart krb5kdc.service
- PKINIT のステータスを参照してください。
# ipa pkinit-status Server name: server1.example.com PKINIT status: enabled [...output truncated...] Server name: server2.example.com PKINIT status: disabled [...output truncated...]
- CA 証明書で IdM を使用している場合は、以下のように PKINIT を有効にします。
# ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successful
IdM CA を使用している場合、コマンドは CA から PKINIT KDC 証明書を要求します。
関連情報
- 詳細は、ipa-server-certinstall (1) man ページを参照してください。