第3章 IdM サーバーのインストール: 統合 DNS と統合 CA を root CA として使用する場合


統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

  • ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
  • IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
  • IdM ドメインからのメールが、IdM ドメイン外のメールサーバーによってスパムと見なされないように、DNS 逆ゾーンを設定できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

  • IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービス を参照してください。

この章では、認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。

注記

ipa-server-install コマンドのデフォルト設定は、統合 CA をルート CA とします。--external-ca--ca-less が指定された場合など、CA オプションがない場合、IdM サーバーは統合 CA とインストールされます。

3.1. 対話型インストール

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

手順

  1. ipa-server-install ユーティリティーを実行します。

    # ipa-server-install
  2. スクリプトにより、統合 DNS サービスの設定が求められます。yes を入力します。

    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。

    • デフォルト値を使用する場合は Enter を押します。
    • カスタム値を指定する場合は、指定する値を入力します。

      Server host name [server.idm.example.com]:
      Please confirm the domain name [idm.example.com]:
      Please provide a realm name [IDM.EXAMPLE.COM]:
      警告

      名前は慎重に指定してください。インストール完了後に変更することはできません。

  4. Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。

    Directory Manager password:
    IPA admin password:
  5. スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。

    Do you want to configure DNS forwarders? [yes]:
    • サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。

      • フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
    • DNS 転送を使用しない場合は、no と入力します。

      DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。

  6. そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。

    Do you want to search for missing reverse zones? [yes]:

    検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。

    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    注記

    オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

  7. サーバー設定をする場合は、yes と入力します。

    Continue to configure the system with these values? [no]: yes
  8. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  9. インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。

    1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。

      重要

      IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

    2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.