52.3. IdM での PKINIT の設定
IdM サーバーが PKINIT を無効にした状態で動作している場合は、以下の手順に従って有効にします。たとえば、--no-pkinit
オプションを ipa-server-install
ユーティリティーまたは ipa-replica-install
ユーティリティーで渡した場合には、サーバーは PKINIT が無効な状態で動作します。
前提条件
- 認証局 (CA) がインストールされているすべての IdM サーバーが、同じドメインレベルで稼働していることを確認します。
手順
PKINIT がサーバーで有効になっているかどうかを確認します。
# kinit admin Password for admin@IDM.EXAMPLE.COM: # ipa pkinit-status --server=server.idm.example.com 1 server matched ---------------- Server name: server.idm.example.com PKINIT status:enabled ---------------------------- Number of entries returned 1 ----------------------------
PKINIT が無効になっている場合は、次の出力が表示されます。
# ipa pkinit-status --server server.idm.example.com ----------------- 0 servers matched ----------------- ---------------------------- Number of entries returned 0 ----------------------------
--server <server_fqdn>
パラメーターを省略することで、このコマンドを使用して、PKINIT が有効になっているすべてのサーバーを検索することもできます。CA なしで IdM を使用している場合は、以下の手順を実行します。
IdM サーバーに、Kerberos Key Distribution Center (KDC) 証明書に署名した CA 証明書をインストールします。
# ipa-cacert-manage install -t CT,C,C ca.pem
すべての IPA ホストを更新するには、すべてのレプリカとクライアントで
ipa-certupdate
コマンドを繰り返し実行します。# ipa-certupdate
ipa-cacert-manage list
コマンドを使用して、CA 証明書がすでに追加されているかどうかを確認します。以下に例を示します。# ipa-cacert-manage list CN=CA,O=Example Organization The ipa-cacert-manage command was successful
ipa-server-certinstall
ユーティリティーを使用して、外部 KDC 証明書をインストールします。KDC 証明書は以下の条件を満たしている必要があります。-
コモンネーム
CN=fully_qualified_domain_name,certificate_subject_base
で発行されている。 -
Kerberos プリンシパル
krbtgt/REALM_NAME@REALM_NAME
を含む。 KDC 認証のオブジェクト識別子 (OID)
1.3.6.1.5.2.3.5
を含む。# ipa-server-certinstall --kdc kdc.pem kdc.key # systemctl restart krb5kdc.service
-
コモンネーム
PKINIT のステータスを確認します。
# ipa pkinit-status Server name: server1.example.com PKINIT status: enabled [...output truncated...] Server name: server2.example.com PKINIT status: disabled [...output truncated...]
CA 証明書のある IdM を使用している場合は、次のように PKINIT を有効にします。
# ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successful
IdM CA を使用している場合、コマンドは CA から PKINIT KDC 証明書を要求します。
関連情報
-
ipa-server-certinstall(1)
の man ページ