Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

16.3. IdM での PKINIT の設定

IdM サーバーが PKINIT を無効にした状態で動作している場合は、以下の手順に従って有効にします。たとえば、--no-pkinit オプションを ipa-server-install ユーティリティーまたは ipa-replica-install ユーティリティーで渡した場合には、サーバーは PKINIT が無効な状態で動作します。

前提条件

  • 認証局 (CA) がインストールされているすべての IdM サーバーが、同じドメインレベルで稼働していることを確認します。

手順

  1. PKINIT がサーバーで有効になっているかどうかを確認します。 

    # kinit admin

Password for admin@IDM.EXAMPLE.COM:
# ipa pkinit-status --server=server.idm.example.com
1 server matched
----------------
Server name: server.idm.example.com
PKINIT status:enabled
----------------------------
Number of entries returned 1
----------------------------
    Copy to Clipboard Toggle word wrap

    PKINIT が無効になっている場合は、次の出力が表示されます。 

    # ipa pkinit-status --server server.idm.example.com
-----------------
0 servers matched
-----------------
----------------------------
Number of entries returned 0
----------------------------
    Copy to Clipboard Toggle word wrap

    --server <server_fqdn> パラメーターを省略することで、このコマンドを使用して、PKINIT が有効になっているすべてのサーバーを検索することもできます。

  2. CA なしで IdM を使用している場合は、以下の手順を実行します。

    1. IdM サーバーに、Kerberos Key Distribution Center (KDC) 証明書に署名した CA 証明書をインストールします。 

      # ipa-cacert-manage install -t CT,C,C ca.pem
      Copy to Clipboard Toggle word wrap

    2. すべての IPA ホストを更新するには、すべてのレプリカとクライアントで ipa-certupdate コマンドを繰り返し実行します。 

      # ipa-certupdate
      Copy to Clipboard Toggle word wrap

    3. ipa-cacert-manage list コマンドを使用して、CA 証明書がすでに追加されているかどうかを確認します。以下に例を示します。 

      # ipa-cacert-manage list
CN=CA,O=Example Organization
The ipa-cacert-manage command was successful
      Copy to Clipboard Toggle word wrap

    4. ipa-server-certinstall ユーティリティーを使用して、外部 KDC 証明書をインストールします。KDC 証明書は以下の条件を満たしている必要があります。

      • コモンネーム CN=fully_qualified_domain_name,certificate_subject_base で発行されている。
      • Kerberos プリンシパル krbtgt/REALM_NAME@REALM_NAME を含む。

      • KDC 認証のオブジェクト識別子 (OID) 1.3.6.1.5.2.3.5 を含む。 

        # ipa-server-certinstall --kdc kdc.pem kdc.key

# systemctl restart krb5kdc.service
        Copy to Clipboard Toggle word wrap

    5. PKINIT のステータスを確認します。 

      # ipa pkinit-status
  Server name: server1.example.com
  PKINIT status: enabled
  [...output truncated...]
  Server name: server2.example.com
  PKINIT status: disabled
  [...output truncated...]
      Copy to Clipboard Toggle word wrap

  3. CA 証明書のある IdM を使用している場合は、次のように PKINIT を有効にします。 

    # ipa-pkinit-manage enable
  Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
  Done configuring Kerberos KDC (krb5kdc).
  The ipa-pkinit-manage command was successful
    Copy to Clipboard Toggle word wrap

    IdM CA を使用している場合、コマンドは CA から PKINIT KDC 証明書を要求します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat