サポートコンソール開発者トライアルの開始お問い合わせ

第5章 IdM サーバーのインストール: 統合 DNS があり外部 CA がない場合

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

  • ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
  • IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
  • IdM ドメインからのメールが、IdM ドメイン外のメールサーバーによってスパムと見なされないように、DNS 逆ゾーンを設定できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

  • IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービス を参照してください。

この章では、認証局 (CA) がない場合に新しい IdM サーバーをインストールする方法を説明します。

5.1. CA なしで IdM サーバーをインストールするために必要な証明書

認証局 (CA) なしで Identity Management (IdM) サーバーをインストールするために必要な証明書を提供する必要があります。説明されているコマンドラインオプションを使用すると、これらの証明書を ipa-server-install ユーティリティーに提供できます。

重要

インポートした証明書ファイルには、LDAP サーバーおよび Apache サーバーの証明書を発行した CA の完全な証明書チェーンが含まれている必要があるため、自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。

LDAP サーバー証明書および秘密鍵
  • --dirsrv-cert-file - LDAP サーバー証明書の証明書ファイルおよび秘密鍵ファイルを提供します。
  • --dirsrv-pin - --dirsrv-cert-file に指定されたファイルにある秘密鍵にアクセスするパスワードを提供します。
Apache サーバー証明書および秘密鍵
  • --http-cert-file - Apache サーバー証明書の証明書および秘密鍵ファイルを提供します。
  • --http-pin - --http-cert-file に指定したファイルにある秘密鍵にアクセスするパスワードを提供します。
LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
  • --dirsrv-cert-file および --http-cert-file - 完全な CA 証明書チェーンまたはその一部が含まれる証明書ファイルを提供します。

以下の形式の --dirsrv-cert-file オプションおよび --http-cert-file オプションを指定して、ファイルを指定できます。

  • PEM (Privacy-Enhanced Mail) がエンコードした証明書 (RFC 7468)。Identity Management インストーラーは、連結した PEM エンコードオブジェクトを受け付けることに注意してください。
  • 識別名エンコーディングルール (DER)
  • PKCS #7 証明書チェーンオブジェクト
  • PKCS #8 秘密鍵オブジェクト
  • PKCS #12 アーカイブ

--dirsrv-cert-file オプションおよび --http-cert-file オプションを複数回指定して、複数のファイルを指定できます。

完全な CA 証明書チェーンを提供する証明書ファイル (一部の環境では必要ありません)
  • --ca-cert-file - LDAP、Apache Server、および Kerberos KDC の証明書を発行した CA の CA 証明書が含まれるファイル。このオプションは、他のオプションにより提供される証明書ファイルに CA 証明書が存在しない場合に使用します。

--ca-cert-file を使用して提供されるファイルと、--dirsrv-cert-file--http-cert-file を使用して提供されるファイルには、LDAP および Apache のサーバー証明書を発行した CA の完全 CA 証明書チェーンが含まれる必要があります。

Kerberos 鍵配布センター (KDC) の PKINIT 証明書および秘密鍵

  • PKINIT 証明書がある場合は、次の 2 つのオプションを使用します。

    • --pkinit-cert-file - Kerberos KDC SSL の証明書および秘密鍵を提供します。
    • --pkinit-pin - --pkinit-cert-file に指定されたファイルにある Kerberos KDC の秘密鍵にアクセスするパスワードを提供します。

  • PKINIT 証明書がなく、自己署名証明書を使用してローカル KDC で IdM サーバーを設定する場合は、次のオプションを使用します。

    • --no-pkinit - pkinit 設定手順を無効にします。

関連情報

  • このオプションで使用できる証明書ファイル形式に関する詳細は、ipa-server-install(1) の man ページを参照すること。
  • RHEL IdM PKINIT KDC certificate and extensions (Red Hat ナレッジベース)
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.