検索
サポートコンソール開発者トライアルの開始お問い合わせ

27.3. IdM での PKINIT の設定

download PDF
IdM サーバーが PKINIT を無効にした状態で動作している場合は、以下の手順に従って有効にします。たとえば、--no-pkinit オプションを ipa-server-install ユーティリティーまたは ipa-replica-install ユーティリティーで渡した場合には、PKINIT が無効になります。

前提条件

  • 認証局 (CA) がインストールされているすべての IdM サーバーが、同じドメインレベルで稼働していることを確認します。詳細は7章ドメインレベルの表示と引き上げを参照してください。

手順

  1. サーバーで PKINIT が有効になっているかどうかを確認します。 
    # kinit admin
Password for admin@IPA.TEST:
# ipa pkinit-status --server=server.idm.example.com
----------------
1 server matched
----------------
Server name: server.idm.example.com
PKINIT status: enabled
----------------------------
Number of entries returned 1
----------------------------
    PKINIT が無効になっている場合は、以下の出力が表示されます。 
    # ipa pkinit-status --server server.idm.example.com
-----------------
0 servers matched
-----------------
----------------------------
Number of entries returned 0
----------------------------
    --server <server_fqdn> パラメーターを省略した場合は、コマンドを使用して PKINIT が有効になっているすべてのサーバー を見つけることもできます。
  2. CA を使用せずに IdM を使用している場合は、次のコマンドを実行します。
    1. IdM サーバーで、Kerberos キー配布センター(KDC)証明書に署名した CA 証明書をインストールします。 
      # ipa-cacert-manage install -t CT,C,C ca.pem
    2. すべての IPA ホストを更新するには、すべてのレプリカおよびクライアントで ipa-certupdate コマンドを繰り返します。 
      # ipa-certupdate
    3. ipa-cacert-manage list コマンドを使用して、CA 証明書がすでに追加されているかどうかを確認します。以下に例を示します。 
      # ipa-cacert-manage list
CN=CA,O=Example Organization
The ipa-cacert-manage command was successful
    4. ipa-server-certinstall ユーティリティーを使用して、外部 KDC 証明書をインストールします。KDC 証明書は以下の条件を満たしている必要があります。
      • これは、共通名 CN=fully_qualified_domain_namecertificate_subject_base で発行されます。
      • これには、Kerberos プリンシパル krbtgt/REALM_NAME@REALM_NAME が含まれます。
      • KDC 認証のオブジェクト識別子 (OID) が含まれます:1.3.6.1.5.2.3.5
      # ipa-server-certinstall --kdc kdc.pem kdc.key
# systemctl restart krb5kdc.service
    5. PKINIT のステータスを参照してください。 
      # ipa pkinit-status
  Server name: server1.example.com
  PKINIT status: enabled
  [...output truncated...]
  Server name: server2.example.com
  PKINIT status: disabled
  [...output truncated...]
  3. CA 証明書で IdM を使用している場合は、以下のように PKINIT を有効にします。 
    # ipa-pkinit-manage enable
  Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
  Done configuring Kerberos KDC (krb5kdc).
  The ipa-pkinit-manage command was successful
    IdM CA を使用している場合、コマンドは CA から PKINIT KDC 証明書を要求します。

関連情報

  • 詳細は、ipa-server-certinstall (1) man ページを参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.