5.3.2.2. IdM クライアントへの Kerberos シングルサインオンが必要です。
IdM クライアントのリソースにアクセスするために Kerberos シングルサインオンが必要な場合、クライアントは
idm-client.idm.example.com などの IdM DNS ドメイン内になければなりません。IdM クライアントの A/AAAA レコードを参照する Active Directory DNS ドメインで CNAME レコード idm-client.ad.example.com を作成する必要があります。
Kerberos ベースのアプリケーションサーバーの場合、MIT Kerberos は、アプリケーションのキータブで利用可能なホストベースのプリンシパルの受け入れを可能にする方法をサポートします。Kerberos サーバーの対象に使用していた Kerberos プリンシパルに関する厳密なチェックを無効にするには、
/etc/krb5.conf 設定ファイルの [libdefaults] セクションに以下のオプションを設定します。
ignore_acceptor_hostname = true
SSL 証明書の処理
SSL ベースのサービスでは、元 (A/AAAA) のレコードと CNAME レコードの両方が証明書に含まれている必要があるため、すべてのシステムホスト名に対応する dNSName 拡張レコードを持つ証明書が必要です。現在、IdM は、IdM データベース内のオブジェクトをホストする証明書のみを発行します。
シングルサインオンが利用できない説明されたセットアップでは、IdM は、データベースに FQDN のホストオブジェクトをすでに持っており、
certmonger はこの名前の証明書を要求できます。
- 新規ホストオブジェクトを作成します。
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
ホスト名は CNAME であり、A/AAAA レコードではないため、--forceオプションを使用します。 - IdM DNS ホスト名が、IdM データベースの Active Directory ホストエントリーを管理できるようにします。
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
この設定では、IdM クライアントは、Active Directory DNS ドメイン内でホスト名に対して dNSName 拡張レコードで SSL 証明書を要求できます。
[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
-f /etc/httpd/alias/server.crt \
-k /etc/httpd/alias/server.key \
-N CN=`hostname --fqdn` \
-D `hostname --fqdn` \
-D idm-client.ad.example.com \
-K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
-U id-kp-serverAuth