第3章 IdM サーバーのインストール: 統合 DNS と統合 CA を root CA として使用する場合
統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。
- ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
- IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
- IdM ドメインからのメールが、IdM ドメイン外のメールサーバーによってスパムと見なされないように、DNS 逆ゾーンを設定できます。
統合 DNS のある IdM のインストールにはいくつかの制限があります。
- IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービス を参照してください。
この章では、認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。
ipa-server-install コマンドのデフォルト設定は、統合 CA をルート CA とします。--external-ca
や --ca-less
が指定された場合など、CA オプションがない場合、IdM サーバーは統合 CA とインストールされます。
3.1. 対話型インストール
ipa-server-install
ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。
ipa-server-install
インストールスクリプトにより、/var/log/ipaserver-install.log
にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。
手順
ipa-server-install ユーティリティーを実行します。
# ipa-server-install
スクリプトにより、統合 DNS サービスの設定が求められます。
yes
を入力します。Do you want to configure integrated DNS (BIND)? [no]:
yes
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
カスタム値を指定する場合は、指定する値を入力します。
Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
警告名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (
cn=Directory Manager
) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin
) のパスワードを入力します。Directory Manager password: IPA admin password:
スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
Do you want to configure DNS forwarders? [yes]:
サーバーごとの DNS フォワーダーを設定するには、
yes
を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。-
フォワードポリシーのデフォルト設定は、
ipa-dns-install
(1) の man ページに記載されている --forward-policy の説明を参照してください。
-
フォワードポリシーのデフォルト設定は、
DNS 転送を使用しない場合は、
no
と入力します。DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
Do you want to search for missing reverse zones? [yes]:
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
Do you want to create reverse zone for IP 192.0.2.1 [yes]: Please specify the reverse zone name [2.0.192.in-addr.arpa.]: Using reverse zone(s) 2.0.192.in-addr.arpa.
注記オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。
サーバー設定をする場合は、
yes
と入力します。Continue to configure the system with these values? [no]:
yes
- インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが
idm.example.com
の場合は、ネームサーバー (NS) レコードを親ドメインexample.com
に追加します。重要IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
-
タイムサーバーの
_ntp._udp
サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。