Identity Management のインストール

第1章 IdM サーバーをインストールするためのシステムの準備
リンクのコピー

ここでは、Identity Management (IdM) サーバーのインストール要件を取り上げます。インストールする前に、システムが以下の要件を満たしていることを確認してください。

1.1. 前提条件
リンクのコピー

ホストコンピューターに Identity Management (IdM) サーバーをインストールするには、root 特権が必要です。

1.2. ハードウェア推奨事項
リンクのコピー

ハードウェアでは、RAM の容量を適切に確保することが最も重要になります。システムに十分な RAM があるようにしてください。一般的な RAM の要件は次のとおりです。

10,000 ユーザーおよび 100 グループには、最低 4 GB の RAM と 4 GB のスワップ領域を割り当てます。
100,000 ユーザーおよび 50,000 グループには、最低 16 GB の RAM と 4 GB のスワップ領域を割り当てます。

大規模なデプロイメントでは、データの多くがキャッシュに保存されるため、ディスク容量を増やすよりも RAM を増やす方が効果的です。通常、メモリーを増やすと、キャッシュ機能により、サイズが大きいデプロイメントでパフォーマンスが改善されます。仮想化環境では、メモリーバルーニングを無効にするか、ゲスト IdM サーバー用に RAM 全体を予約する必要があります。

注記

基本的なユーザーエントリーまたは証明書のあるシンプルなホストエントリーのサイズは、約 5 - 10 KB です。

1.3. IdM のカスタム設定要件
リンクのコピー

DNS、Kerberos、Apache、Directory Server などのサービスのカスタム設定を行わずに、クリーンなシステムに Identity Management (IdM) をインストールします。

IdM サーバーのインストールは、システムファイルを上書きして、IdM ドメインを設定します。IdM は、元のシステムファイルを /var/lib/ipa/sysrestore/ にバックアップします。ライフサイクルの終了時に IdM サーバーがアンインストールされると、このファイルが復元されます。

1.3.1. IdM における IPv6 要件
リンクのコピー

IdM システムでは、カーネル内で IPv6 プロトコルが有効になっている必要があります。IPv6 が無効になっていると、IdM サービスが使用する CLDAP プラグインが初期化に失敗します。

注記

ネットワーク上で IPv6 を有効にする必要はありません。

1.3.2. IdM における暗号化タイプのサポート
リンクのコピー

Red Hat Enterprise Linux (RHEL) は、Advanced Encryption Standard (AES)、Camellia、Data Encryption Standard (DES) などの暗号化タイプをサポートする Kerberos プロトコルのバージョン 5 を使用します。

サポート対象の暗号化タイプのリスト

IdM サーバーおよびクライアントの Kerberos ライブラリーは、より多くの暗号化タイプに対応している可能性がありますが、IdM Kerberos Distribution Center (KDC) は以下の暗号化タイプのみに対応します。

aes256-cts:normal
aes256-cts:special (デフォルト)
aes128-cts:normal
aes128-cts:special (デフォルト)
aes128-sha2:normal
aes128-sha2:special
aes256-sha2:normal
aes256-sha2:special
camellia128-cts-cmac:normal
camellia128-cts-cmac:special
camellia256-cts-cmac:normal
camellia256-cts-cmac:special

RC4 暗号化タイプがデフォルトで無効

以下の RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、RHEL 9 ではデフォルトで無効にされています。

arcfour-hmac:normal
arcfour-hmac:special

以前の Active Directory 環境と互換性を確保するために RC4 サポートを手動で有効にする方法は、AD および RHEL で一般的な暗号化タイプに対応を参照してください。

DES および 3DES 暗号化のサポートが削除される

セキュリティー上の理由から、DES アルゴリズムへの対応は RHEL 7 では非推奨となりました。single-DES (DES) および triple-DES (3DES) の暗号化タイプは RHEL 8 から廃止され、RHEL 9 では使用されません。

1.3.3. IdM でのシステム全体の暗号化ポリシーへの対応
リンクのコピー

IdM は、DEFAULT システム全体の暗号化ポリシーを使用します。このポリシーは、現在の脅威モデルに安全な設定を提供します。TLS プロトコルの 1.2 と 1.3、IKEv2 プロトコル、および SSH2 プロトコルが使用できます。RSA 鍵と Diffie-Hellman パラメーターは長さが 2048 ビット以上であれば許容されます。このポリシーでは、DES、3DES、RC4、DSA、TLS v1.0、およびその他の弱いアルゴリズムを使用できません。

注記

FUTURE システム全体の暗号化ポリシーの使用中は、IdM サーバーをインストールできません。IdM サーバーをインストールする場合は、DEFAULT システム全体の暗号化ポリシーを使用していることを確認してください。

関連情報

システム全体の暗号化ポリシー

1.3.4. FIPS コンプライアンス
リンクのコピー

連邦情報処理規格 (FIPS) モードが有効になっているシステムに、新しい IdM サーバーまたはレプリカをインストールできます。唯一の例外は、FIPS:OSPP 暗号化サブポリシーが有効になっているシステムです。

FIPS モードで IdM をインストールするには、ホストで FIPS モードを有効にしてから、IdM をインストールします。IdM インストールスクリプトは、FIPS が有効かどうかを検出し、IdM が FIPS 140-3 に準拠する暗号化タイプのみを使用するように設定します。

aes128-sha2:normal
aes128-sha2:special
aes256-sha2:normal
aes256-sha2:special

IdM 環境が FIPS に準拠するには、すべて の IdM レプリカで FIPS モードが有効になっている必要があります。

特にクライアントを IdM レプリカにプロモートする場合、Red Hat では IdM クライアントでも FIPS を有効にすることを推奨します。最終的には、管理者が FIPS 要件を満たす方法を判別する必要があります。Red Hat は FIPS 基準を強要しません。

FIPS 準拠の IdM への移行

既存の IdM インストールを非 FIPS 環境から FIPS 準拠のインストールに移行することはできません。これは技術的な問題ではなく、法的および規制上の制限です。

FIPS 準拠のシステムを運用するには、すべての暗号化キー素材を FIPS モードで作成する必要があります。さらに、暗号鍵マテリアルは、セキュアにラップされていない限り、絶対に FIPS 環境の外部に出さないでください。また、絶対に FIPS 以外の環境でラップを解除しないでください。

シナリオで FIPS 非準拠の IdM レルムから FIPS 準拠の IdM レルムへの移行が必要な場合は、次のことを行う必要があります。

FIPS モードで新しい IdM レルムを作成します。
すべてのキーマテリアルをブロックするフィルターを使用して、非 FIPS レルムから新しい FIPS モードレルムへのデータ移行を実行します。

移行フィルターは以下をブロックする必要があります。

KDC マスターキー、キータブ、および関連するすべての Kerberos キーマテリアル
ユーザーパスワード
CA、サービス、ユーザー証明書を含むすべての証明書
OTP トークン
SSH キーと指紋
DNSSEC KSK および ZSK
すべての Vault エントリー
AD 信頼関連のキーマテリアル

事実上、新しい FIPS インストールは別のインストールとなります。厳密なフィルタリングを行ったとしても、このような移行は FIPS 140 認定を通過できない可能性があります。FIPS 監査人がこの移行にフラグを立てる場合があります。

FIPS モードが有効なフォレスト間の信頼のサポート

FIPS モードが有効な場合に Active Directory (AD) ドメインでフォレスト間の信頼を確立するには、AD 管理アカウントで認証する必要があります。FIPS モードが有効な場合には、共有シークレットを使用して信頼を確立することはできません。

重要

RADIUS 認証は FIPS に準拠していません。RADIUS 認証が必要な場合は、FIPS モードが有効な状態で IdM をインストールしないでください。

関連情報

RHEL オペレーティングシステムで FIPS モードを有効にするには、セキュリティー強化 ガイドの FIPS モードへのシステムの切り替えを参照してください。
FIPS 140-2 の詳細は、National Institute of Standards and Technology (NIST) の Web サイトの Security Requirements for Cryptographic Modules を参照してください。

1.4. IdM のタイムサービス要件
リンクのコピー

以下のセクションでは、chronyd を使用して、IdM ホストを中央タイムソースと同期させる方法を説明します。

1.4.1. IdM で chronyd を同期に使用する方法
リンクのコピー

chronyd を使用して、ここで説明するように、IdM ホストを中央タイムソースと同期させることができます。

IdM の基礎となる認証メカニズムである Kerberos は、プロトコルの一部としてタイムスタンプを使用します。IdM クライアントのシステム時間が、KDC (Key Distribution Center) のシステム時間と比べて 5 分以上ずれると、Kerberos 認証に失敗します。

IdM インストールスクリプトは、IdM サーバーおよびクライアントが中央タイムソースと同期したままになるように、chronyd Network Time Protocol (NTP) クライアントソフトウェアを自動設定します。

IdM インストールコマンドに NTP オプションを指定しないと、インストーラーは、ネットワークの NTP サーバーを参照する _ntp._udp DNS サービス (SRV) レコードを検索し、その IP アドレスで chrony を設定します。_ntp._udp SRV レコードがない場合は、chronyd は chrony パッケージに同梱の設定を使用します。

注記

RHEL 8 では chronyd が優先されるため、ntpd は非推奨となっており、IdM サーバーは Network Time Protocol (NTP) サーバーとして設定されず、NTP クライアントとしてのみ設定されます。RHEL 7 の NTP サーバー の IdM サーバーロールも、RHEL 8 では非推奨になりました。

1.4.2. IdM インストールコマンドの NTP 設定オプションのリスト
リンクのコピー

chronyd を使用して、IdM ホストを中央タイムソースと同期させることができます。

IdM インストールコマンド (ipa-server-install、ipa-replica-install、ipa-client-install) のいずれかを指定して、設定時に chronyd クライアントソフトウェアを設定できます。

Expand

表1.1 IdM インストールコマンドの NTP 設定オプションのリスト
オプション	動作
`--ntp-server`	これを使用して NTP サーバーを 1 つ指定します。複数回使用して、複数のサーバーを指定できます。
`--ntp-pool`	複数の NTP サーバーのプールを指定して、1 つのホスト名として解決する場合には、これを使用します。
`-N`, `--no-ntp`	`chronyd` の設定、起動、有効化はしないでください。

1.4.3. IdM が NTP タイムサーバーを参照できるようにする方法
リンクのコピー

Network Time Protocol (NTP) タイムサーバーと同期できるように、IdM に必要な設定があるか確認できます。

前提条件

お使いの環境で NTP タイムサーバーを設定している。この例では、以前に設定したタイムサーバーのホスト名は ntpserver.example.com である。

手順

環境内で NTP サーバーの DNS サービス (SRV) レコード検索を実行します。
```
dig +short -t SRV _ntp._udp.example.com
```
```
[user@server ~]$ dig +short -t SRV _ntp._udp.example.com
0 100 123 ntpserver.example.com.
```
Copy to Clipboard Toggle word wrap
以前の dig 検索でタイムサーバーが返されない場合は、ポート 123 でタイムサーバーを参照する _ntp._udp SRV レコードを追加します。このプロセスは、お使いの DNS ソリューションにより異なります。

検証

_ntp._udp SRV レコードの検索時に、DNS がポート 123 でタイムサーバーのエントリーが返されることを確認します。
```
dig +short -t SRV _ntp._udp.example.com
```
```
[user@server ~]$ dig +short -t SRV _ntp._udp.example.com
0 100 123 ntpserver.example.com.
```
Copy to Clipboard Toggle word wrap

1.5. IdM の DNS ホスト名および DNS の要件への対応
リンクのコピー

サーバーおよびレプリカシステムのホスト名と DNS 要件を以下に示します。また、システムが要件を満たしていることを確認する方法も説明します。

警告

DNS レコードは、LDAP ディレクトリーサービスの実行、Kerberos、Active Directory 統合など、ほぼすべての Identity Management (IdM) ドメイン機能にとって不可欠です。以下の点を確認し、十分注意してください。

テスト済みの機能する DNS サービスが利用可能である。
サービスが適切に設定されている。

この要件は、統合 DNS の 有無にかかわらず、すべての IdM サーバーに適用されます。

サーバーのホスト名の検証

ホスト名は、完全修飾ドメイン名 (例: server.idm.example.com) である必要があります。

重要

.company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で構成されている必要があります。

完全修飾ドメイン名は、以下の条件を満たす必要があります。

数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
すべてが小文字である。大文字は使用できません。
ループバックアドレスに解決されない。127.0.0.1 ではなく、システムのパブリック IP アドレスに解決される必要があります。

ホスト名を検証するには、インストールするシステムで hostname ユーティリティーを使用します。

hostname

# hostname
server.idm.example.com

Copy to Clipboard

Toggle word wrap

hostname の出力は、localhost または localhost6 以外である必要があります。

正引きおよび逆引きの DNS 設定の確認

サーバーの IP アドレスを取得します。

ip addr show コマンドを実行すると、IPv4 アドレスと IPv6 アドレスの両方が表示されます。以下の例では、スコープがグローバルであるため、対応する IPv6 アドレスは 2001:DB8::1111 となります。

ip addr show

[root@server ~]# ip addr show
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
valid_lft 106694sec preferred_lft 106694sec
inet6 2001:DB8::1111/32 scope global dynamic
valid_lft 2591521sec preferred_lft 604321sec
inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
valid_lft forever preferred_lft forever
...

Copy to Clipboard

Toggle word wrap

dig ユーティリティーを使用して、正引き DNS 設定を確認します。
1. dig +short server.idm.example.com A コマンドを実行します。返される IPv4 アドレスは、ip addr show により返される IP アドレスと一致する必要があります。
  [root@server ~]# dig +short server.idm.example.com A 192.0.2.1
  Copy to Clipboard Toggle word wrap
2. dig +short server.idm.example.com AAAA コマンドを実行します。このコマンドに返されるアドレスは、ip addr show により返される IPv6 アドレスと一致する必要があります。
  [root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111
  Copy to Clipboard Toggle word wrap
  注記
  dig により AAAA レコードの出力が返されなくても、設定が間違っているわけではありません。出力されないのは、DNS にシステムの IPv6 アドレスが設定されていないためです。ネットワークで IPv6 プロトコルを使用する予定がない場合は、この状況でもインストールを続行できます。
逆引き DNS 設定 (PTR レコード) を確認します。dig ユーティリティーを使用し、IP アドレスを追加します。
以下のコマンドで別のホスト名が表示されたり、ホスト名が表示されない場合、逆引き DNS 設定は正しくありません。
1. dig +short -x IPv4_address コマンドを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。
  [root@server ~]# dig +short -x 192.0.2.1 server.idm.example.com
  Copy to Clipboard Toggle word wrap
2. 前の手順で実行した dig +short -x server.idm.example.com AAAA コマンドにより IPv6 アドレスが返された場合は、dig を使用して IPv6 アドレスのクエリーを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。
  [root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.com
  Copy to Clipboard Toggle word wrap
  注記
  前の手順で dig +short server.idm.example.com AAAA コマンドにより IPv6 アドレスが返されなかった場合は、AAAA レコードのクエリーを実行しても、何も出力されません。この場合、これは正常な動作で、誤った設定を示すものではありません。
  警告
  逆引き DNS (PTR レコード) の検索が複数のホスト名を返すと、httpd、および IdM に関連付けられた他のソフトウェアで予期しない動作が表示される場合があります。Red Hat は、1 つの IP につき 1 つの PTR レコードを設定することを強く推奨します。

DNS フォワーダーの規格準拠の確認 (統合 DNS の場合のみ必要)

IdM DNS サーバーで使用するすべての DNS フォワーダーが、Extension Mechanisms for DNS (EDNS0) に準拠していることを確認します。具体的には、フォワーダーごとに、次のコマンドの出力を確認します。

dig @IP_address_of_the_DNS_forwarder . SOA

$ dig @IP_address_of_the_DNS_forwarder . SOA

Copy to Clipboard

Toggle word wrap

コマンドの出力には、以下の情報が含まれます。

ステータス - NOERROR
フラグ - ra

これらの項目のいずれかが出力にない場合は、DNS フォワーダーのドキュメントを調べて、EDNS0 がサポートされ、有効になっていることを確認してください。

DNS Security Extensions (DNSSEC) ポリシーの確認 (統合 DNS にのみ必要)

警告

DNSSEC は、IdM ではテクノロジープレビューとしてのみ利用できます。

IdM 統合 DNS サーバーでは、DNSSEC 検証がデフォルトで有効になっています。IdM デプロイメントで DNSSEC 機能が必要ない場合は、プライマリー IdM サーバーと IdM レプリカをインストールするときに、ipa-server-install --setup-dns および ipa-replica-install --setup-dns コマンドに --no-dnssec-validation オプションを追加します。

DNSSEC を使用する場合は、IdM DNS サーバーで使用するすべての DNS フォワーダーが DNSSEC 標準に準拠していることを確認してください。具体的には、フォワーダーごとに、次のコマンドの出力を確認します。

dig +dnssec @IP_address_of_the_DNS_forwarder . SOA

$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA

Copy to Clipboard

Toggle word wrap

コマンドの出力には、以下の情報が含まれます。

ステータス - NOERROR
フラグ - ra
EDNS フラグ - do
ANSWER セクションには RRSIG レコードが必要です。

これらの項目のいずれかが出力にない場合は、DNS フォワーダーのドキュメントを調べて、DNSSEC がサポートされ、有効になっていることを確認してください。

dig +dnssec によって生成される予想される出力の例:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]

Copy to Clipboard

Toggle word wrap

注記

すでにデプロイされている IdM サーバーでは、/etc/named/ipa-options-ext.conf ファイルで dnssec-validation ブールオプションを検索することで、DNSSEC 検証が有効かどうかを確認できます。

/etc/hosts ファイルの確認

/etc/hosts ファイルが以下のいずれかの条件を満たすことを確認します。

このファイルには、ホストのエントリーが含まれません。ホストの IPv4 および IPv6 の localhost エントリーリストのみを表示します。
このファイルには、ホストのエントリーが含まれ、ファイルには以下の条件がすべて満たされます。
- 最初の 2 つのエントリーは、IPv4 および IPv6 の localhost エントリーです。
- その次のエントリーは、IdM サーバーの IPv4 アドレスとホスト名を指定します。
- IdM サーバーの FQDN は、IdM サーバーの省略名の前に指定します。
- IdM サーバーのホスト名は、localhost エントリーには含まれません。
以下は、適切に設定された /etc/hosts ファイルの例になります。

127.0.0.1 localhost localhost.localdomain \
localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain \
localhost6 localhost6.localdomain6
192.0.2.1 server.idm.example.com server
2001:DB8::1111 server.idm.example.com server

127.0.0.1 localhost localhost.localdomain \
localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain \
localhost6 localhost6.localdomain6
192.0.2.1 server.idm.example.com server
2001:DB8::1111 server.idm.example.com server

Copy to Clipboard

Toggle word wrap

1.6. IdM のポート要件
リンクのコピー

Identity Management (IdM) は、複数のポートを使用して、そのサービスと対話します。IdM サーバーが動作するには、このようなポートを開いて IdM サーバーへの着信接続に利用できるようにする必要があります。別のサービスで現在使用されているポートや、ファイアウォールによりブロックされているポートは使用しないでください。

Expand

表1.2 IdM ポート
サービス	ポート	プロトコル
HTTP/HTTPS	80、443	TCP
LDAP/LDAPS	389、636	TCP
Kerberos	88、464	TCP および UDP
DNS	53	TCP および UDP (任意)

注記

IdM はポート 80 および 389 を使用します。これは、以下のような安全なプラクティスです。

IdM は通常、ポート 80 に到着するリクエストをポート 443 にリダイレクトします。ポート 80 (HTTP) は、Online Certificate Status Protocol (OCSP) 応答および証明書失効リスト (CRL) の提供にのみ使用されます。いずれもデジタル署名されているため、中間者攻撃に対してセキュリティーが保護されます。
ポート 389 (LDAP) は、暗号化に STARTTLS および Generic Security Services API (GSSAPI) を使用します。

さらに、ポート 8080 および 8443 は、pki-tomcat によって内部的に使用され、他のサービスによって使用されないようにファイアウォールでブロックされたままになります。ポート 749 は、Kerberos サーバーのリモート管理に使用され、リモート管理を使用する場合にのみ開きます。

Expand

表1.3 firewalld サービス
サービス名	詳細は、以下を参照してください。
`freeipa-4`	`/usr/lib/firewalld/services/freeipa-4.xml`
`dns`	`/usr/lib/firewalld/services/dns.xml`

1.7. IdM で必要なポートの開放
リンクのコピー

IdM がサービスとの通信に使用する必要なポートを開くことができます。

手順

firewalld サービスが実行されていることを確認します。
- firewalld が実行中であることを確認するには、次のコマンドを実行します。
  # systemctl status firewalld.service
  Copy to Clipboard Toggle word wrap
- firewalld を起動し、システム起動時に自動的に起動するように設定するには、次のコマンドを実行します。
  # systemctl start firewalld.service # systemctl enable firewalld.service
  Copy to Clipboard Toggle word wrap
firewall-cmd ユーティリティーを使用して必要なポートを開きます。以下のいずれかのオプションを選択します。
1. firewall-cmd --add-port コマンドを使用して個別のポートをファイアウォールに追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。
  # firewall-cmd --permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp}
  Copy to Clipboard Toggle word wrap
2. firewall-cmd --add-service コマンドを使用して、firewalld サービスをファイアウォールに追加します。たとえば、デフォルトゾーンでポートを開くには、次のコマンドを実行します。
  # firewall-cmd --permanent --add-service={freeipa-4,dns}
  Copy to Clipboard Toggle word wrap
  firewall-cmd を使用してシステムでポートを開く方法は firewall-cmd(1) の man ページを参照してください。
firewall-cmd 設定を再ロードして、変更が即座に反映されるようにします。
```
firewall-cmd --reload
```
```
# firewall-cmd --reload
```
Copy to Clipboard Toggle word wrap
実稼働システムで firewalld を再ロードすると、DNS の接続がタイムアウトになる可能性があることに注意してください。必要な場合は、以下の例のように firewall-cmd コマンドで --runtime-to-permanent オプションを指定して、タイムアウトが発生しないようにし、変更を永続化します。
```
firewall-cmd --runtime-to-permanent
```
```
# firewall-cmd --runtime-to-permanent
```
Copy to Clipboard Toggle word wrap

検証

クライアントサブネット上のホストにログインし、nmap または nc ユーティリティーを使用して、開いているポートに接続するかポートスキャンを実行します。
- たとえば、TCP トラフィックに必要なポートをスキャンするには、以下を実行します。
  $ nmap -p 80,443,389,636,88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/tcp open domain 80/tcp open http 88/tcp open kerberos-sec 389/tcp open ldap 443/tcp open https 464/tcp open kpasswd5 636/tcp open ldapssl
  Copy to Clipboard Toggle word wrap
- UDP トラフィックに必要なポートをスキャンするには、以下を実行します。
  # nmap -sU -p 88,464,53 server.idm.example.com [...] PORT STATE SERVICE 53/udp open domain 88/udp open|filtered kerberos-sec 464/udp open|filtered kpasswd5
  Copy to Clipboard Toggle word wrap

注記

さらに、着信および送信トラフィックの両方でネットワークベースのファイアウォールを開く必要があります。

1.8. IdM サーバーに必要なパッケージのインストール
リンクのコピー

以下の手順は、IdM の環境設定に必要なパッケージのダウンロード方法を示しています。

前提条件

RHEL システムを新しくインストールしている。
必要なリポジトリーを利用できるようにしている。
- RHEL システムがクラウドで稼働していない場合は、Red Hat Subscription Manager (RHSM) でシステムを登録している。詳細は、Subscription Central を参照してください。IdM が使用する BaseOS リポジトリーおよび AppStream リポジトリーも有効にしている。
  # subscription-manager repos --enable=rhel-9-for-x86_64-baseos-rpms # subscription-manager repos --enable=rhel-9-for-x86_64-appstream-rpms
  Copy to Clipboard Toggle word wrap
  RHSM を使用して特定のリポジトリーを有効化および無効化する方法の詳細は、Subscription Central を参照してください。
- RHEL システムがクラウドで実行している場合は、登録を省略します。必要なリポジトリーは、Red Hat Update Infrastructure (RHUI) から入手できます。

手順

IdM の要件に応じて、以下のいずれかのオプションを選択します。
- 統合 DNS のない IdM サーバーのインストールに必要なパッケージをダウンロードします。
  # dnf install ipa-server
  Copy to Clipboard Toggle word wrap
- 統合 DNS のある IdM サーバーのインストールに必要なパッケージをダウンロードするには、次のコマンドを実行します。
  # dnf install ipa-server ipa-server-dns
  Copy to Clipboard Toggle word wrap
- Active Directory と信頼関係のある IdM サーバーのインストールに必要なパッケージをダウンロードするには、次のコマンドを実行します。
  # dnf install ipa-server ipa-server-trust-ad samba-client
  Copy to Clipboard Toggle word wrap

1.9. IdM インストール用の正しいファイルモード作成マスクの設定
リンクのコピー

Identity Management (IdM) のインストールプロセスでは、root アカウントのファイルモード作成マスク (umask) が 0022 に設定されている必要があります。これにより、root 以外のユーザーがインストール中に作成されたファイルを読み取ることができます。別の umask が設定されている場合は、IdM サーバーをインストールすると警告が表示されます。インストールを続行すると、サーバーの一部の機能が正しく実行されません。たとえば、このサーバーから IdM レプリカをインストールすることはできません。インストール後、umask を元の値に戻すことができます。

前提条件

root 権限がある。

手順

オプション: 現在の umask を表示します。
```
umask
```
```
# umask
0027
```
Copy to Clipboard Toggle word wrap
umask を 0022 に設定します。
```
umask 0022
```
```
# umask 0022
```
Copy to Clipboard Toggle word wrap
オプション: IdM のインストールが完了したら、umask を元の値に戻します。
```
umask 0027
```
```
# umask 0027
```
Copy to Clipboard Toggle word wrap

1.10. fapolicyd ルールが IdM インストールをブロックしないようにする
リンクのコピー

RHEL ホストで fapolicyd ソフトウェアフレームワークを使用してユーザー定義のポリシーに基づいてアプリケーションの実行を制御する場合、Identity Management (IdM) サーバーのインストールに失敗する可能性があります。インストールおよび操作が正常に完了するには Java プログラムが必要になるため、Java および Java クラスが fapolicyd ルールによってブロックされていないことを確認してください。

詳細は、Red Hat ナレッジベースソリューション fapolicy restrictions causing IdM installation failures を参照してください。

1.11. IdM インストールコマンドのオプション
リンクのコピー

ipa-server-install、ipa-replica-install、ipa-dns-install、ipa-ca-install などのコマンドには、対話型インストールに関する追加情報の確認に使用できる数多くのオプションがあります。これらのオプションを使用して、無人インストールのスクリプトを作成することもできます。

以下の表は、異なるコンポーネントで最も一般的なオプションの一部を示しています。特定のコンポーネントのオプションは、複数のコマンド間で共有されます。たとえば、ipa-ca-install コマンドおよび ipa-server-install コマンドの両方で --ca-subject オプションを使用できます。

オプションの完全なリストは、ipa-server-install(1)、ipa-replica-install(1)、ipa-dns-install(1)、および ipa-ca-install(1) man ページを参照してください。

Expand

表1.4 一般的なオプション: ipa-server-install および ipa-replica-install で使用可能
引数	説明
`-d`、`--debug`	詳細な出力のためにデバッグロギングを有効にします。
`-U`、`--unattended`	ユーザー入力を要求しない無人インストールセッションを有効にします。
`--hostname=server.idm.example.com`	IdM サーバーマシンの完全修飾ドメイン名。数字、小文字のアルファベット、およびハイフン (-) のみが使用できます。
`--ip-address 127.0.0.1`	サーバーの IP アドレスを指定します。このオプションでは、ローカルインターフェイスに関連付けられている IP アドレスのみを使用できます。
`--dirsrv-config-file <LDIF_file_name>`	ディレクトリーサーバーインスタンスの設定を変更するのに使用する LDIF ファイルへのパス。
`-n example.com`	IdM ドメインに使用する LDAP サーバードメインの名前。これは、通常 IdM サーバーのホスト名に基づいています。
`-p <directory_manager_password>`	LDAP サービス用のスーパーユーザーの `cn=Directory Manager` のパスワード。
`-a <ipa_admin_password>`	Kerberos レルムに対して認証する `admin` IdM 管理者アカウントのパスワード。`ipa-replica-install` の場合は、代わりに `-w` を使用します。
`-r <KERBEROS_REALM_NAME>`	`EXAMPLE.COM` など、IdM ドメイン用に作成する Kerberos レルムの名前を大文字で入力します。`ipa-replica-install` では、既存の IdM デプロイメントの Kerberos レルムの名前を指定します。
`--setup-dns`	IdM ドメイン内に DNS サービスを設定するように、インストールスクリプトに指示します。
`--setup-ca`	このレプリカに CA をインストールして設定します。CA が設定されていないと、証明書操作は CA がインストールされている別のレプリカに転送されます。`ipa-server-install` の場合、CA はデフォルトでインストールされ、このオプションを使用する必要はありません。

Expand

表1.5 CA オプション: ipa-ca-install および ipa-server-install で使用可能
引数	説明
`--random-serial-numbers`	IdM CA の Random Serial Numbers バージョン 3 (RSNv3) を有効にします。有効にすると、CA は範囲管理なしで PKI で証明書および要求に対して完全にランダムなシリアル番号を生成します。重要: RSNv3 は、新しい IdM CA インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。
`--ca-subject=<SUBJECT>`	CA 証明書のサブジェクト識別名を指定します (デフォルト: CN=Certificate Authority,O=REALM.NAME)。相対識別名 (RDN) は LDAP 順で、最も具体的な RDN が最初に使用されます。
`--subject-base=<SUBJECT>`	IdM によって発行される証明書のサブジェクトベースを指定します (デフォルト O=REALM.NAME)。相対識別名 (RDN) は LDAP 順で、最も具体的な RDN が最初に使用されます。
`--external-ca`	外部 CA によって署名される証明書署名要求を生成します。
`--ca-signing-algorithm=<ALGORITHM>`	IdM CA 証明書の署名アルゴリズムを指定します。使用できる値は SHA1withRSA、SHA256withRSA、SHA512withRSA です。デフォルトは SHA256withRSA です。外部 CA がデフォルトの署名アルゴリズムをサポートしていない場合は、`--external-ca` でこのオプションを使用します。
`--pki-config-override=<PKI_CONFIG_OVERRIDE>`	CA インストールのオーバーライドを含むファイルを指定します。`ipa-replica-install` コマンドでも利用できます。

Expand

表1.6 DNS オプション: ipa-dns-install で使用可能、または --setup-dns を使用する場合に ipa-server-install および ipa-replica-install で使用可能
引数	説明
`--forwarder=192.0.2.1`	DNS サービスで使用する DNS フォワーダーを指定します。複数のフォワーダーを指定するには、このオプションを複数回使用します。
`--no-forwarders`	フォワーダーではなく DNS サービスを使用するルートサーバーを使用します。
`--no-reverse`	DNS ドメインの設定時に、逆引き DNS ゾーンが作成されないようにします。逆引き DNS ゾーンがすでに設定されている場合は、既存の逆引き DNS ゾーンが使用されます。このオプションを使用しない場合、デフォルト値は `true` になります。これにより、インストールスクリプトで逆引き DNS を設定するように指示します。

第2章 IdM サーバーのインストール: 統合 DNS と統合 CA をルート CA として使用する場合
リンクのコピー

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
DNS 逆引きゾーンを設定すると、自社ドメインからのメールが IdM ドメイン外のメールサーバーによってスパムとみなされるのを防止できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービスを参照してください。

この章では、認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。

注記

ipa-server-install コマンドのデフォルト設定は、統合 CA をルート CA とします。--http-cert-file および --dirsrv-cert-file を使用して HTTP および LDAP サーバー証明書を指定しなかった場合、IdM サーバーは統合 CA とともにインストールされます。CA はデフォルトで自己署名されますが、--external-ca を指定した場合は外部署名されます。

2.1. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

手順

ipa-server-install ユーティリティーを実行します。
```
ipa-server-install
```
```
# ipa-server-install
```
Copy to Clipboard Toggle word wrap
スクリプトにより、統合 DNS サービスの設定が求められます。yes を入力します。
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
Copy to Clipboard Toggle word wrap
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
  Copy to Clipboard Toggle word wrap
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
Copy to Clipboard Toggle word wrap
スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
```
Do you want to configure DNS forwarders? [yes]:
```
```
Do you want to configure DNS forwarders? [yes]:
```
Copy to Clipboard Toggle word wrap
- サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。
  - フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
- DNS 転送を使用しない場合は、no と入力します。
  DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
```
Do you want to search for missing reverse zones? [yes]:
```
```
Do you want to search for missing reverse zones? [yes]:
```
Copy to Clipboard Toggle word wrap
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
Copy to Clipboard Toggle word wrap
注記
オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

サーバー設定をする場合は、yes と入力します。

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Copy to Clipboard

Toggle word wrap

インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
  重要
  IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

2.2. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

手順

オプションで必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。非対話型インストールで最低限必要なオプションは次のとおりです。
- --realm - Kerberos レルム名を指定します。
- --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
- --admin-password - Identity Management (IdM) の管理者である admin のパスワードを指定します。
- --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。
統合 DNS のあるサーバーをインストールする場合は、以下のオプションも追加します。
- --setup-dns - 統合 DNS 名を設定します。
- --forwarder または --no-forwarders - DNS フォワーダーを設定するかを指定します。
- --auto-reverse または --no-reverse - IdM DNS で作成する必要がある逆引き DNS ゾーンの自動検出を設定するかどうかを指定します。
以下に例を示します。
```
ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended --setup-dns --forwarder 192.0.2.1 --no-reverse
```
```
# ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended --setup-dns --forwarder 192.0.2.1 --no-reverse
```
Copy to Clipboard Toggle word wrap
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
  重要
  IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合
リンクのコピー

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
DNS 逆引きゾーンを設定すると、自社ドメインからのメールが IdM ドメイン外のメールサーバーによってスパムとみなされるのを防止できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービスを参照してください。

この章では、外部の認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。

3.1. 統合 DNS と外部 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

以下を使用してサーバーをインストールするには、次の手順を実行します。

統合 DNS を使用する
外部認証局 (CA) をルート CA として使用する

前提条件

--external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install(1) man ページを参照してください。
Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合: --external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定した。デフォルトでは、SubCA テンプレートが使用されます。
--external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。

手順

--external-ca オプションを使用して ipa-server-install ユーティリティーを実行します。
```
ipa-server-install --external-ca
```
```
# ipa-server-install --external-ca
```
Copy to Clipboard Toggle word wrap
- Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。
  [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
  Copy to Clipboard Toggle word wrap
- MS CS を使用して IdM CA の署名証明書を生成していない場合は、他のオプションは必要ありません。
  # ipa-server-install --external-ca
  Copy to Clipboard Toggle word wrap
スクリプトにより、統合 DNS サービスの設定が求められます。yes または no を入力します。この手順では、統合 DNS のあるサーバーをインストールします。
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
Copy to Clipboard Toggle word wrap
注記
統合 DNS のないサーバーをインストールする場合は、以下の手順にある DNS 設定のプロンプトが表示されません。DNS のないサーバーをインストールする手順の詳細は、5章IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合 を参照してください。
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
  Copy to Clipboard Toggle word wrap
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
Copy to Clipboard Toggle word wrap
スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
```
Do you want to configure DNS forwarders? [yes]:
```
```
Do you want to configure DNS forwarders? [yes]:
```
Copy to Clipboard Toggle word wrap
- サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。
  - フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
- DNS 転送を使用しない場合は、no と入力します。
  DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
```
Do you want to search for missing reverse zones? [yes]:
```
```
Do you want to search for missing reverse zones? [yes]:
```
Copy to Clipboard Toggle word wrap
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
Copy to Clipboard Toggle word wrap
注記
オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

サーバー設定をする場合は、yes と入力します。

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Copy to Clipboard

Toggle word wrap

Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
Copy to Clipboard Toggle word wrap
この場合は、以下を行います。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
  # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  Copy to Clipboard Toggle word wrap
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
  重要
  IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

注記

ipa-server-install --external-ca コマンドは、次のエラーにより失敗する場合があります。

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

Copy to Clipboard

Toggle word wrap

この失敗は、*_proxy 環境変数が設定されていると発生します。問題の解決方法は、トラブルシューティング: 外部 CA インストールの失敗を参照してください。

3.2. トラブルシューティング: 外部 CA インストールの失敗
リンクのコピー

ipa-server-install --external-ca コマンドが、次のエラーにより失敗します。

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

Copy to Clipboard

Toggle word wrap

env|grep proxy を実行すると、以下のような変数が表示されます。

env|grep proxy

# env|grep proxy
http_proxy=http://example.com:8080
ftp_proxy=http://example.com:8080
https_proxy=http://example.com:8080

Copy to Clipboard

Toggle word wrap

エラー内容:

*_proxy 環境変数が原因でサーバーをインストールできません。

解決方法:

次のシェルスクリプトを使用して *_proxy 環境変数の設定を解除します。
```
for i in ftp http https; do unset ${i}_proxy; done
```
```
# for i in ftp http https; do unset ${i}_proxy; done
```
Copy to Clipboard Toggle word wrap

pkidestroy ユーティリティーを実行して、インストールに失敗した認証局 (CA) サブシステムを削除します。

pkidestroy -s CA -i pki-tomcat; rm -rf /var/log/pki/pki-tomcat /etc/sysconfig/pki-tomcat /etc/sysconfig/pki/tomcat/pki-tomcat /var/lib/pki/pki-tomcat /etc/pki/pki-tomcat /root/ipa.csr

# pkidestroy -s CA -i pki-tomcat; rm -rf /var/log/pki/pki-tomcat /etc/sysconfig/pki-tomcat /etc/sysconfig/pki/tomcat/pki-tomcat /var/lib/pki/pki-tomcat /etc/pki/pki-tomcat /root/ipa.csr

Copy to Clipboard

Toggle word wrap

インストールに失敗した Identity Management (IdM) サーバーを削除します。
```
ipa-server-install --uninstall
```
```
# ipa-server-install --uninstall
```
Copy to Clipboard Toggle word wrap
ipa-server-install --external-ca を再度実行します。

第4章 IdM サーバーのインストール: 統合 DNS があり外部 CA がない場合
リンクのコピー

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
DNS 逆引きゾーンを設定すると、自社ドメインからのメールが IdM ドメイン外のメールサーバーによってスパムとみなされるのを防止できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービスを参照してください。

この章では、認証局 (CA) がない場合に新しい IdM サーバーをインストールする方法を説明します。

4.1. CA なしで IdM サーバーをインストールするために必要な証明書
リンクのコピー

認証局 (CA) なしで Identity Management (IdM) サーバーをインストールするために必要な証明書を提供する必要があります。説明されているコマンドラインオプションを使用すると、これらの証明書を ipa-server-install ユーティリティーに提供できます。

重要

インポートした証明書ファイルには、LDAP サーバーおよび Apache サーバーの証明書を発行した CA の完全な証明書チェーンが含まれている必要があるため、自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。

LDAP サーバー証明書および秘密鍵

--dirsrv-cert-file - LDAP サーバー証明書の証明書ファイルおよび秘密鍵ファイルを提供します。
--dirsrv-pin - --dirsrv-cert-file に指定されたファイルにある秘密鍵にアクセスするパスワードを提供します。

Apache サーバー証明書および秘密鍵

--http-cert-file - Apache サーバー証明書の証明書および秘密鍵ファイルを提供します。
--http-pin - --http-cert-file に指定したファイルにある秘密鍵にアクセスするパスワードを提供します。

LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン

--dirsrv-cert-file および --http-cert-file - 完全な CA 証明書チェーンまたはその一部が含まれる証明書ファイルを提供します。

以下の形式の --dirsrv-cert-file オプションおよび --http-cert-file オプションを指定して、ファイルを指定できます。

PEM (Privacy-Enhanced Mail) がエンコードした証明書 (RFC 7468)。Identity Management インストーラーは、連結した PEM エンコードオブジェクトを受け付けることに注意してください。
識別名エンコーディングルール (DER)
PKCS #7 証明書チェーンオブジェクト
PKCS #8 秘密鍵オブジェクト
PKCS #12 アーカイブ

--dirsrv-cert-file オプションおよび --http-cert-file オプションを複数回指定して、複数のファイルを指定できます。

完全な CA 証明書チェーンを提供する証明書ファイル (一部の環境では必要ありません)

--ca-cert-file - LDAP、Apache Server、および Kerberos KDC の証明書を発行した CA の CA 証明書が含まれるファイル。このオプションは、他のオプションで指定する証明書ファイルに CA 証明書が存在しない場合に使用します。

--ca-cert-file を使用して提供されるファイルと、--dirsrv-cert-file と --http-cert-file を使用して提供されるファイルには、LDAP および Apache のサーバー証明書を発行した CA の完全 CA 証明書チェーンが含まれる必要があります。

Kerberos 鍵配布センター (KDC) の PKINIT 証明書および秘密鍵

PKINIT 証明書がある場合は、次の 2 つのオプションを使用します。
- --pkinit-cert-file - Kerberos KDC SSL の証明書および秘密鍵を提供します。
- --pkinit-pin - --pkinit-cert-file に指定されたファイルにある Kerberos KDC の秘密鍵にアクセスするパスワードを提供します。
PKINIT 証明書がなく、自己署名証明書を使用してローカル KDC で IdM サーバーを設定する場合は、次のオプションを使用します。
- --no-pkinit - pkinit 設定手順を無効にします。

4.2. 統合 DNS を使用し、CA を使用しない IdM サーバーの対話型インストール
リンクのコピー

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

手順

ipa-server-install ユーティリティーを実行し、必要な証明書をすべて提供します。以下に例を示します。

ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt

[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt

Copy to Clipboard

Toggle word wrap

提供される証明書の詳細は、CA なしで IdM サーバーをインストールするために必要な証明書を参照してください。

スクリプトにより、統合 DNS サービスの設定が求められます。yes または no を入力します。この手順では、統合 DNS のあるサーバーをインストールします。
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
Copy to Clipboard Toggle word wrap
注記
統合 DNS のないサーバーをインストールする場合は、以下の手順にある DNS 設定のプロンプトが表示されません。DNS なしでサーバーをインストールする手順の詳細は、IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合を参照してください。
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
  Copy to Clipboard Toggle word wrap
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
Copy to Clipboard Toggle word wrap
スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
```
Do you want to configure DNS forwarders? [yes]:
```
```
Do you want to configure DNS forwarders? [yes]:
```
Copy to Clipboard Toggle word wrap
- サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。
  - フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
- DNS 転送を使用しない場合は、no と入力します。
  DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
```
Do you want to search for missing reverse zones? [yes]:
```
```
Do you want to search for missing reverse zones? [yes]:
```
Copy to Clipboard Toggle word wrap
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
Copy to Clipboard Toggle word wrap
注記
オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

サーバー設定をする場合は、yes と入力します。

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Copy to Clipboard

Toggle word wrap

インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
  重要
  IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

第5章 IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合
リンクのコピー

この章では、統合 DNS を使用しないで新しい Identity Management (IdM) サーバーをインストールする方法を説明します。

注記

Red Hat では、IdM デプロイメントにおける基本的な使用のために IdM 統合 DNS をインストールすることを強く推奨します。IdM サーバーが DNS も管理する場合には、DNS とネイティブの IdM ツールが密接に統合されるため、DNS レコード管理の一部が自動化できます。

詳細は、DNS サービスとホスト名の計画を参照してください。

5.1. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

この手順では、以下のサーバーをインストールします。

統合 DNS を使用しない
統合 Identity Management (IdM) の認証局 (CA) をルート CA とするサーバー (デフォルトの CA 設定)

手順

ipa-server-install ユーティリティーを実行します。
```
ipa-server-install
```
```
# ipa-server-install
```
Copy to Clipboard Toggle word wrap
スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、no オプションを選択します。
```
Do you want to configure integrated DNS (BIND)? [no]:
```
```
Do you want to configure integrated DNS (BIND)? [no]:
```
Copy to Clipboard Toggle word wrap
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
  Copy to Clipboard Toggle word wrap
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、IdM の管理システムユーザーアカウント (admin) のパスワードを入力します。
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
Copy to Clipboard Toggle word wrap
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  NetBIOS domain name [EXAMPLE]: Do you want to configure chrony with NTP server or pool address? [no]:
  Copy to Clipboard Toggle word wrap

サーバー設定をする場合は、yes と入力します。

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Copy to Clipboard

Toggle word wrap

インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。

インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

Copy to Clipboard

Toggle word wrap

重要

既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

5.2. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

統合 DNS のないサーバーや、統合 Identity Management (IdM) 認証局 (CA) をルート CA (デフォルトの CA 設定) としてインストールできます。

注記

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

手順

必要に応じて必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。非対話型インストールで最低限必要なオプションは次のとおりです。
- --realm - Kerberos レルム名を指定します。
- --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
- --admin-password - IdM 管理者である admin のパスワードを指定します。
- --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。
以下に例を示します。
```
ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
```
```
# ipa-server-install --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
```
Copy to Clipboard Toggle word wrap
インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
Copy to Clipboard Toggle word wrap
重要
既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

5.3. 外部 DNS システムの IdM DNS レコード
リンクのコピー

統合 DNS を使用せずに IdM サーバーをインストールした後、IdM サーバーの LDAP リソースレコードおよび Kerberos DNS リソースレコードを外部 DNS システムに追加する必要があります。

ipa-server-install インストールスクリプトは、ファイル名が /tmp/ipa.system.records.<random_characters>.db 形式の DNS リソースレコードのリストを含むファイルを生成し、そのレコードを追加する手順を表示します。

Please add records in this file to your DNS system: /tmp/ipa.system.records.6zdjqxh3.db

Please add records in this file to your DNS system: /tmp/ipa.system.records.6zdjqxh3.db

Copy to Clipboard

Toggle word wrap

以下は、ファイルの内容の例になります。

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

Copy to Clipboard

Toggle word wrap

注記

IdM サーバーの LDAP リソースレコードおよび Kerberos DNS リソースレコードを DNS システムに追加したら、DNS 管理ツールが ipa-ca の PTR レコードを追加していないことを確認します。DNS に ipa-ca の PTR レコードが存在すると、その後の IdM レプリカのインストールに失敗する場合があります。

第6章 IdM サーバーのインストール: 統合 DNS を使用せず、外部 CA をルート CA として使用する場合
リンクのコピー

統合 DNS を使用せずに、外部認証局 (CA) をルート CA として使用する新しい Identity Management (IdM) サーバーをインストールできます。

注記

IdM デプロイメントにおける基本的な使用のために、IdM 統合 DNS をインストールします。IdM サーバーが DNS を管理する場合も、DNS とネイティブの IdM ツールとの間には厳格な統合があり、これにより、DNS レコード管理の一部が自動化されます。

詳細は、DNS サービスとホスト名の計画を参照してください。

6.1. 外部 CA をルート CA として IdM CA をインストールするときに使用するオプション
リンクのコピー

次のいずれかの条件が当てはまる場合は、外部 CA をルート CA として、Identity Management IdM 認証局 (CA) をインストールすることを推奨します。

ipa-server-install コマンドを使用して、新しい IdM サーバーまたはレプリカをインストールしようとしている。
ipa-ca-install コマンドを使用して、CA コンポーネントを既存の IdM サーバーにインストールしようとしている。

ルート CA として外部 CA と共に IdM CA をインストールする際に証明書署名要求 (CSR) を作成するのに使用できる次の両方のコマンドオプションを使用可能です。

--external-ca-type=TYPE

外部 CA のタイプ。設定可能な値は generic および ms-cs です。デフォルト値は generic です。生成される CSR に Microsoft Certificate Services (MS CS) で必要なテンプレート名を追加するには、ms-cs を使用します。デフォルト以外のプロファイルを使用するには、--external-ca-type=ms-cs と共に --external-ca-profile オプションを使用します。

--external-ca-profile=PROFILE_SPEC

IdM CA の証明書を発行する際に MS CS が適用する証明書プロファイルまたはテンプレートを指定します。

--external-ca-profile オプションは、--external-ca-type が ms-cs の場合にのみ使用できます。

MS CS テンプレートは、以下のいずれかの方法で特定できます。

<oid>:<majorVersion>[:<minorVersion>]:証明書テンプレートは、オブジェクト識別子 (OID) およびメジャーバージョンで指定できます。任意でマイナーバージョンを指定することもできます。
<name>:証明書テンプレートは、名前で指定できます。名前には : 文字を含めることができず、OID を指定できません。そうでなければ、OID ベースのテンプレート指定子構文が優先されます。
default:この指定子を使用する場合には、テンプレート名 SubCA が使用されます。

特定のシナリオでは、Active Directory (AD) 管理者は、AD CS に組み込まれているテンプレートである Subordinate 認証局 (SCA) テンプレートを使用して、組織のニーズにより適した一意のテンプレートを作成できます。たとえば、新しいテンプレートでは有効期間や拡張機能をカスタマイズできます。関連付けられたオブジェクト識別子 (OID) は、AD 証明書テンプレート コンソールにあります。

AD 管理者が元の組み込みテンプレートを無効にしている場合は、IdM CA の証明書を要求する際に新しいテンプレートの OID または名前を指定する必要があります。AD 管理者に、新しいテンプレートの名前または OID を提供するよう依頼します。

元の SCA AD CS テンプレートがまだ有効にされている場合は、追加で --external-ca-profile オプションを使用せずに --external-ca-type=ms-cs を指定して使用できます。この場合、subCA 外部 CA プロファイルが使用されます。これは、SCA AD CS テンプレートに対応するデフォルトの IdM テンプレートです。

6.2. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

以下を使用してサーバーをインストールするには、次の手順を実行します。

統合 DNS を使用しない
外部認証局 (CA) をルート CA として使用する

前提条件

--external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install(1) man ページを参照してください。
Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合: --external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定した。デフォルトでは、SubCA テンプレートが使用されます。
--external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。

手順

--external-ca オプションを使用して ipa-server-install ユーティリティーを実行します。
- Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。
  [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
  Copy to Clipboard Toggle word wrap
- MS CS を使用して IdM CA の署名証明書を生成していない場合は、他のオプションは必要ありません。
  # ipa-server-install --external-ca
  Copy to Clipboard Toggle word wrap
スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、no オプションを選択します。
```
Do you want to configure integrated DNS (BIND)? [no]:
```
```
Do you want to configure integrated DNS (BIND)? [no]:
```
Copy to Clipboard Toggle word wrap
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Server host name [server.idm.example.com]: Please confirm the domain name [idm.example.com]: Please provide a realm name [IDM.EXAMPLE.COM]:
  Copy to Clipboard Toggle word wrap
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、IdM の管理システムユーザーアカウント (admin) のパスワードを入力します。
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
Copy to Clipboard Toggle word wrap

サーバー設定をする場合は、yes と入力します。

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Copy to Clipboard

Toggle word wrap

Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
Copy to Clipboard Toggle word wrap
この場合は、以下を行います。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
  # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  Copy to Clipboard Toggle word wrap
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
Copy to Clipboard Toggle word wrap
重要
既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

関連情報

DNS システムに追加する必要がある DNS リソースレコードの詳細は、外部 DNS システムの IdM DNS レコードを参照してください。

ipa-server-install --external-ca コマンドは、次のエラーにより失敗する場合があります。

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1
Configuration of CA failed

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1
Configuration of CA failed

Copy to Clipboard

Toggle word wrap

この失敗は、*_proxy 環境変数が設定されていると発生します。問題の解決方法は、トラブルシューティング: 外部 CA インストールの失敗を参照してください。

6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

以下を使用してサーバーをインストールできます。

統合 DNS を使用しない
外部認証局 (CA) をルート CA として使用する

注記

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

--external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install(1) man ページを参照してください。
Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合: --external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定した。デフォルトでは、SubCA テンプレートが使用されます。
--external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。

手順

必要に応じて必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。外部 CA をルート CA として使用する IdM サーバーを非対話的にインストールする場合の最小要件オプションは以下のとおりです。
- --external-ca - 外部 CA をルート CA として指定します。
- --realm - Kerberos レルム名を指定します。
- --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
- --admin-password - IdM 管理者である admin のパスワードを指定します。
- --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。
  以下に例を示します。
  # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  Copy to Clipboard Toggle word wrap
Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。
Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。
```
...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful
```
```
...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful
```
Copy to Clipboard Toggle word wrap
この場合は、以下を行います。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
  # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  Copy to Clipboard Toggle word wrap
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
Copy to Clipboard Toggle word wrap

重要

既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

6.4. 外部 DNS システムの IdM DNS レコード
リンクのコピー

統合 DNS を使用せずに IdM サーバーをインストールした後、IdM サーバーの LDAP リソースレコードおよび Kerberos DNS リソースレコードを外部 DNS システムに追加する必要があります。

ipa-server-install インストールスクリプトは、ファイル名が /tmp/ipa.system.records.<random_characters>.db 形式の DNS リソースレコードのリストを含むファイルを生成し、そのレコードを追加する手順を表示します。

Please add records in this file to your DNS system: /tmp/ipa.system.records.6zdjqxh3.db

Please add records in this file to your DNS system: /tmp/ipa.system.records.6zdjqxh3.db

Copy to Clipboard

Toggle word wrap

以下は、ファイルの内容の例になります。

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

_kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
_kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
_kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.

Copy to Clipboard

Toggle word wrap

注記

IdM サーバーの LDAP リソースレコードおよび Kerberos DNS リソースレコードを DNS システムに追加したら、DNS 管理ツールが ipa-ca の PTR レコードを追加していないことを確認します。DNS に ipa-ca の PTR レコードが存在すると、その後の IdM レプリカのインストールに失敗する場合があります。

第7章 HSM に保存されたキーと証明書を使用して IdM デプロイメントをインストールする
リンクのコピー

ハードウェアセキュリティーモジュール (HSM) は、セキュアな暗号化処理、キー生成、暗号化のための強化された改ざん防止環境を提供します。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。

IdM は、HSM のネットワーク機能を利用してマシン間でキーを共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、システムは証明書とキーを異なる方法で処理しますが、ほとんどのユーザーにとってこれはシームレスです。

重要

以下の点に注意してください。

HSM はネットワークに接続されている必要があります。
秘密鍵はデバイス外に持ち出せません。
HSM に保存されているアイテムを混在させることはできません。たとえば、KRA 秘密鍵を HSM にインストールするには CA 秘密鍵も HSM にインストールする必要があります。
初期インストールで HSM を使用する場合は、すべてのレプリカと KRA も同じ HSM を使用する必要があります。
HSM 上でキーが生成されなかった既存のインストールを HSM ベースのインストールにアップグレードすることはできません。

HSM を使用していることは、インストール中に追加オプションを渡すとき以外、ユーザーや管理者にはほとんど見えません。必要なオプションとインストール前の作業は HSM に固有のものです。

7.1. サポート対象のハードウェアセキュリティーモジュール
リンクのコピー

次の表は、Identity Management (IdM) でサポートされている Hardware Security Modules (HSM) のリストを示しています。

Expand

HSM	ファームウェア	アプライアンスソフトウェア	クライアントソフトウェア
nCipher nShield Connect XC (High)	nShield_HSM_Firmware-12.72.1	12.71.0	SecWorld_Lin64-12.71.0
Thales TCT Luna Network HSM Luna-T7	lunafw_update-7.11.1-4	7.11.0-25	610-500244-001_LunaClient-7.11.1-5

7.2. HSM にキーと証明書を保存した統合 CA を使用して IdM サーバーをインストールする
リンクのコピー

ipa-server-install コマンドのデフォルト設定は、統合 CA をルート CA とします。

インストール中に、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定する必要があります。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

サポート対象のネットワーク HSM がベンダーの指示に従ってインストールおよびセットアップされている。サポート対象の HSM を参照してください。
HSM PKCS #11 ライブラリーパス (/opt/nfast/toolkits/pkcs11/libcknfast.so)。
利用可能なスロット、トークン、トークンのパスワード。

手順

PKCS #11 ライブラリーの場所、トークン名、トークンパスワードを指定して、インストールコマンドを実行します。

ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

Copy to Clipboard

Toggle word wrap

プロンプトが表示されたらトークンのパスワードを指定します。

検証

certutil を実行して CA 証明書情報を表示します。

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

Copy to Clipboard

Toggle word wrap

証明書の信頼属性の下に u がリストされていない場合は、秘密鍵がトークンに保存されていることを示します。この場合、パフォーマンス上の理由から HSM にインストールされていないため、Server-Cert cert-pki-ca のみに u フラグが設定されます。

キーと証明書が HSM に保存されていることを確認します。

certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

Copy to Clipboard

Toggle word wrap

証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

キーが保存される場所は、ユーザーが証明書を取得または使用する方法には影響しません。

7.3. HSM にキーと証明書を保存した外部 CA を使用して IdM サーバーをインストールする
リンクのコピー

外部認証局 (CA) をルート CA として使用する新しい Identity Management (IdM) サーバーをインストールできます。

インストール中に、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定する必要があります。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

サポート対象のネットワーク HSM がベンダーの指示に従ってインストールおよびセットアップされている。サポート対象の HSM を参照してください。
HSM PKCS #11 ライブラリーパス (/opt/nfast/toolkits/pkcs11/libcknfast.so)。
利用可能なスロット、トークン、トークンのパスワード。
統合 IdM CA を使用せずにサーバーをインストールする場合は、サードパーティーの認証局から次の証明書を要求する必要があります。
- LDAP サーバー証明書
- Apache サーバー証明書
- PKINIT 証明書
- LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン

手順

必ず外部 CA を使用していることを指定して、インストールコマンドを実行します。

ipa-server-install --external-ca

# ipa-server-install --external-ca

Copy to Clipboard

Toggle word wrap

インストールプロセス中に、ユーティリティーは証明書署名要求 (CSR) の場所 /root/ipa.csr を出力します。

...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

Copy to Clipboard

Toggle word wrap

インストールユーティリティーによって生成された CSR を使用して証明書プロセスを完了するには、次の手順を実行します。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書だけでなく、CA の完全な証明書チェーンを取得します。

ipa-server-install ユーティリティーを再度実行して、新しく発行された CA 証明書と CA チェーンファイルのパスと名前、PKCS #11 ライブラリーの場所、トークン名、およびトークンパスワードを指定します。

ipa-server-install --external-cert-file=</tmp/servercert20170601.pem> --external-cert-file=</tmp/cacert.pem> -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

# ipa-server-install --external-cert-file=</tmp/servercert20170601.pem> --external-cert-file=</tmp/cacert.pem> -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

Copy to Clipboard

Toggle word wrap

プロンプトが表示されたらトークンのパスワードを指定します。
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。

検証

certutil を実行して CA 証明書情報を表示します。

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P

Copy to Clipboard

Toggle word wrap

証明書は表示されます。ただし ,, はトークンに保存されているため秘密鍵がないことを示します。

キーと証明書が HSM に保存されていることを確認します。

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

Copy to Clipboard

Toggle word wrap

証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

キーが保存される場所は、ユーザーが証明書を取得または使用する方法には影響しません。

7.4. HSM に保存されたキーと証明書を使用して IdM レプリカサーバーをインストールする
リンクのコピー

レプリカのインストールプロセスでは、既存のサーバーの設定をコピーし、その設定を基にしてレプリカをインストールします。

前提条件

サポート対象の HSM がインストールされ、その HSM に CA キーと証明書がインストールされている。HSM にキーと証明書を保存した統合 CA を使用して IdM サーバーをインストールするを参照してください。
利用可能なスロット、トークン、トークンのパスワード。

手順

トークン名を指定してインストールコマンドを実行します。

ipa-replica-install --token-name=<HSM-TOKEN> --setup-ca -P admin -w <password> -U

# ipa-replica-install --token-name=<HSM-TOKEN> --setup-ca -P admin -w <password> -U

Copy to Clipboard

Toggle word wrap

プロンプトが表示されたらトークンのパスワードを指定します。

検証

キーと証明書が HSM に保存されていることを確認します。

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

Copy to Clipboard

Toggle word wrap

証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

キーが保存される場所は、ユーザーが証明書を取得または使用する方法には影響しません。

7.5. HSM に保存されたキーと証明書を使用して KRA サーバーをインストールする
リンクのコピー

RHEL Identity Management (IdM) で Vault を有効にするには、特定の IdM サーバーに Key Recovery Authority (KRA) Certificate System (CS) コンポーネントをインストールします。

前提条件

トークンのパスワード。

手順

トークン名とトークンパスワードを指定して、install コマンドを実行します。
```
ipa-kra-install -p <password>
```
```
# ipa-kra-install -p <password>
```
Copy to Clipboard Toggle word wrap
プロンプトが表示されたらトークンのパスワードを指定します。

検証

キーと証明書が HSM に保存されていることを確認します。

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
<HSM-TOKEN>:storageCert cert-pki-kra                           u,u,u
<HSM-TOKEN>:transportCert cert-pki-kra                         u,u,u
<HSM-TOKEN>:auditSigningCert cert-pki-kra                      u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
<HSM-TOKEN>:storageCert cert-pki-kra                           u,u,u
<HSM-TOKEN>:transportCert cert-pki-kra                         u,u,u
<HSM-TOKEN>:auditSigningCert cert-pki-kra                      u,u,Pu

Copy to Clipboard

Toggle word wrap

証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

キーが保存される場所は、ユーザーが証明書を取得または使用する方法には影響しません。

7.6. HSM に保存されたキーと証明書を使用して KRA クローンをインストールする
リンクのコピー

デフォルトでは、IdM クライアントのプロモーション中に --setup-kra オプションを指定しない限り、IdM レプリカに KRA はありません。

前提条件

トークンのパスワード。
KRA サーバーがインストールされている。

手順

KRA クローンをインストールするには、レプリカで次のコマンドを実行します。
```
ipa-kra-install -p <Secret.123 >
```
```
# ipa-kra-install -p <Secret.123 >
```
Copy to Clipboard Toggle word wrap
プロンプトが表示されたらトークンのパスワードを指定します。

検証

キーと証明書が HSM に保存されていることを確認します。

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
<HSM-TOKEN>:storageCert cert-pki-kra                           u,u,u
<HSM-TOKEN>:transportCert cert-pki-kra                         u,u,u
<HSM-TOKEN>:auditSigningCert cert-pki-kra                      u,u,Pu

certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
<HSM-TOKEN>:storageCert cert-pki-kra                           u,u,u
<HSM-TOKEN>:transportCert cert-pki-kra                         u,u,u
<HSM-TOKEN>:auditSigningCert cert-pki-kra                      u,u,Pu

Copy to Clipboard

Toggle word wrap

証明書名の先頭には HSM トークン名がついています。これは、秘密鍵と証明書がトークンに保存されていることを示します。

キーが保存される場所は、ユーザーが証明書を取得または使用する方法には影響しません。

第8章 LDIF および INI ファイルからの Directory Server および認証局のカスタム設定を使用した IdM サーバーまたはレプリカのインストール
リンクのコピー

設定ファイルを使用して、以下のカスタム設定で RHEL Identity Management (IdM) サーバーまたはレプリカをインストールできます。

IdM Directory Server
IdM 認証局

8.1. LDIF ファイルからカスタム Directory Server 設定を使用して IdM サーバーまたはレプリカをインストールする
リンクのコピー

Directory Server (DS) のカスタム設定を使用して、RHEL Identity Management (IdM) サーバーとレプリカをインストールできます。次の手順では、IdM DS 設定を含む LDAP Data Interchange Format (LDIF) ファイルを作成し、その設定を IdM サーバーおよびレプリカインストールコマンドに渡す方法を示します。

前提条件

IdM 環境のパフォーマンスを向上させるカスタムの Directory Server 設定を行っている。IdM Directory Server パフォーマンスの調整を参照してください。
root 権限がある。

手順

カスタム DS 設定を含む LDIF 形式のテキストファイルを作成します。LDAP 属性の変更はダッシュ (-) で区切ります。この例では、idle タイムアウトおよび最大ファイルディスクリプターにデフォルト以外の値を設定します。
```
changetype: modify
replace: nsslapd-idletimeout
nsslapd-idletimeout: 1800
-
replace: nsslapd-maxdescriptors
nsslapd-maxdescriptors: 8192
```
```
changetype: modify
replace: nsslapd-idletimeout
nsslapd-idletimeout: 1800
-
replace: nsslapd-maxdescriptors
nsslapd-maxdescriptors: 8192
```
Copy to Clipboard Toggle word wrap
--dirsrv-config-file パラメーターを使用して、LDIF ファイルをインストールスクリプトに渡します。
1. IdM サーバーをインストールするには、次のコマンドを実行します。
  # ipa-server-install --dirsrv-config-file <filename.ldif>
  Copy to Clipboard Toggle word wrap
2. IdM レプリカをインストールするには、次のコマンドを実行します。
  # ipa-replica-install --dirsrv-config-file <filename.ldif>
  Copy to Clipboard Toggle word wrap

8.2. INI ファイルからカスタム認証局設定を使用して IdM サーバーまたはレプリカをインストールする
リンクのコピー

IdM 認証局 (CA) と Key Recovery Authority (KRA) のカスタム設定を使用して、RHEL Identity Management (IdM) サーバーと IdM レプリカをインストールできます。

次の手順では、CA のオーバーライドを含む INI ファイルを作成し、それを IdM サーバーおよびレプリカのインストールコマンドに渡す方法について説明します。

前提条件

root 権限がある。

手順

カスタム CA 設定を含む INI 形式のテキストファイルを作成します。各パラメーターを新しい行に記述します。この例では、CA 署名鍵のサイズを 4096 ビットに設定します。
```
[CA]
pki_ca_signing_key_size=4096
```
```
[CA]
pki_ca_signing_key_size=4096
```
Copy to Clipboard Toggle word wrap
--pki-config-override パラメーターを使用して、INI ファイルをインストールスクリプトに渡します。
1. IdM サーバーをインストールするには、次のコマンドを実行します。
  # ipa-server-install --pki-config-override <pkiconfig.ini>
  Copy to Clipboard Toggle word wrap
2. IdM レプリカをインストールするには、次のコマンドを実行します。
  # ipa-replica-install --pki-config-override <pkiconfig.ini>
  Copy to Clipboard Toggle word wrap

第9章 IdM サーバーのインストールに関するトラブルシューティング
リンクのコピー

次のセクションでは、失敗した IdM サーバーのインストールに関する情報を収集する方法、一般的なインストールの問題を解決する方法を説明します。

9.1. IdM サーバーインストールエラーログの確認
リンクのコピー

Identity Management (IdM) サーバーをインストールすると、以下のログファイルにデバッグ情報が追加されます。

/var/log/ipaserver-install.log
/var/log/httpd/error_log
/var/log/dirsrv/slapd-INSTANCE-NAME/access
/var/log/dirsrv/slapd-INSTANCE-NAME/errors

ログファイルの最後の行は成功または失敗を報告し、ERROR および DEBUG エントリーで追加のコンテキストを把握できます。

失敗した IdM サーバーのインストールをトラブルシューティングするには、ログファイルの最後でエラーを確認し、この情報を使用して、対応する問題を解決します。

前提条件

IdM ログファイルの内容を表示するには、root 権限が必要である。

手順

tail コマンドを使用して、ログファイルの最後の行を表示します。以下の例では、/var/log/ipaserver-install.log の最後の 10 行を表示しています。

sudo tail -n 10 /var/log/ipaserver-install.log

[user@server ~]$ sudo tail -n 10 /var/log/ipaserver-install.log
[sudo] password for user:
value = gen.send(prev_value)
File "/usr/lib/python3.6/site-packages/ipapython/install/common.py", line 65, in _install
for unused in self._installer(self.parent):
File "/usr/lib/python3.6/site-packages/ipaserver/install/server/init.py", line 564, in main
master_install(self)
File "/usr/lib/python3.6/site-packages/ipaserver/install/server/install.py", line 291, in decorated
raise ScriptError()

2020-05-27T22:59:41Z DEBUG The ipa-server-install command failed, exception: ScriptError:
2020-05-27T22:59:41Z ERROR The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information

Copy to Clipboard

Toggle word wrap

ログファイルを対話的に確認するには、less ユーティリティーを使用してログファイルの末尾を開き、↑ および ↓ 矢印キーを使用して移動します。以下の例では、/var/log/ipaserver-install.log ファイルを対話的に開きます。
```
sudo less -N +G /var/log/ipaserver-install.log
```
```
[user@server ~]$ sudo less -N +G /var/log/ipaserver-install.log
```
Copy to Clipboard Toggle word wrap

ログファイルの残りで、このレビュープロセスを繰り返して、追加のトラブルシューティング情報を収集します。

sudo less -N +G /var/log/httpd/error_log
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

[user@server ~]$ sudo less -N +G /var/log/httpd/error_log

[user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access

[user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

Copy to Clipboard

Toggle word wrap

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、IdM サーバーのインストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、サーバーの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

9.2. 1 台目の IdM CA サーバーの CA インストールエラーログファイル
リンクのコピー

Identity Management (IdM) サーバーに認証局 (CA) サービスをインストールすると、デバッグ情報が以下の場所 (推奨される優先順位) に追加されます。

Expand

場所	説明
`/var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log`	問題の概要と、`pkispawn` インストールプロセスの Python トレース
`journalctl -u pki-tomcatd@pki-tomcat` の出力	`pki-tomcatd@pki-tomcat` サービスからのエラー
`/var/log/pki/pki-tomcat/ca/debug.$DATE.log`	公開鍵インフラストラクチャー (PKI) 製品のアクティビティーの大規模な JAVA スタックトレース
`/var/log/pki/pki-tomcat/ca/signedAudit/ca_audit` ログファイル	PKI 製品の監査ログ
`/var/log/pki/pki-tomcat/ca/system` `/var/log/pki/pki-tomcat/ca/transactions` `/var/log/pki/pki-tomcat/catalina.$DATE.log`	証明書を使用するサービスプリンシパル、ホスト、およびその他のエンティティーの証明書操作の低レベルのデバッグデータ

注記

オプションの CA コンポーネントのインストール中に IdM サーバー全体のインストールに失敗した場合に、ログには CA の詳細が記録されません。全体的なインストールプロセスに失敗したことを示すメッセージが /var/log/ipaserver-install.log ファイルに記録されます。CA インストールの失敗に関する詳細は、上記のログファイルを確認してください。

CA サービスをインストールしてルート CA が外部 CA の場合は唯一例外で、この動作に該当しません。外部 CA の証明書に問題がある場合は、エラーが /var/log/ipaserver-install.log に記録されます。

関連情報

1 台目の IdM CA サーバーの CA インストールエラーを確認する

9.3. 1 台目の IdM CA サーバーの CA インストールエラーを確認する
リンクのコピー

IdM CA のインストール失敗のトラブルシューティングを行うには、1 台目の IdM CA サーバーの CA インストールエラーログファイル末尾にあるエラーを確認し、その情報を使用して該当する問題を解決します。

前提条件

IdM ログファイルの内容を表示するには、root 権限が必要である。

手順

ログファイルを対話的に確認するには、less ユーティリティーを使用してログファイルの末尾を開き、kbd:[] 矢印キーを使用して移動しながら、ScriptError エントリーを検索します。以下の例では、/var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log を開きます。
```
sudo less -N +G /var/log/pki/pki-ca-spawn.20200527185902.log
```
```
[user@server ~]$ sudo less -N +G /var/log/pki/pki-ca-spawn.20200527185902.log
```
Copy to Clipboard Toggle word wrap
上記のすべてのログファイルを使用してこの確認プロセスを繰り返して、追加のトラブルシューティング情報を収集します。

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、IdM サーバーのインストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、サーバーの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

9.4. 部分的な IdM サーバーインストールの削除
リンクのコピー

IdM サーバーのインストールに失敗した場合は、設定ファイルの一部が残される場合があります。IdM サーバーのインストールを再度試みて失敗し、インストールスクリプトでは IPA が設定済みと報告されます。

既存の部分的な IdM 設定を使用したシステムの例

ipa-server-install

[root@server ~]# ipa-server-install

The log file for this installation can be found in /var/log/ipaserver-install.log
IPA server is already configured on this system.
If you want to reinstall the IPA server, please uninstall it first using 'ipa-server-install --uninstall'.
The ipa-server-install command failed. See /var/log/ipaserver-install.log for more information

Copy to Clipboard

Toggle word wrap

この問題を解決するには、部分的な IdM サーバー設定をアンインストールし、インストールプロセスを再試行します。

前提条件

root 権限があること。

手順

IdM サーバーとして設定するホストから、IdM サーバーソフトウェアをアンインストールします。
```
ipa-server-install --uninstall
```
```
[root@server ~]# ipa-server-install --uninstall
```
Copy to Clipboard Toggle word wrap
インストールに繰り返し失敗したことが原因で IdM サーバーのインストールに問題が生じた場合は、オペレーティングシステムを再インストールします。
カスタマイズなしの新規インストールシステムというのが、IdM サーバーのインストール要件の 1 つとなっています。インストールに失敗した場合は、予期せずにシステムファイルが変更されてホストの整合性が保てない可能性があります。

関連情報

IdM サーバーのアンインストールの詳細は IdM サーバーのアンインストールを参照してください。
Red Hat テクニカルサポートサブスクリプションをお持ちで、アンインストールを何度か試みた後にインストールに失敗した場合には、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、サーバーの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

第10章 IdM サーバーのアンインストール
リンクのコピー

以下の手順に従って、server123.idm.example.com (server123) という名前の Identity Management (IdM) サーバーをアンインストールします。この手順では、他のサーバーが重要なサービスを実行していること、アンインストールを実行する前にトポロジーが引き続き冗長であることを最初に確認します。

注記

キーと証明書がハードウェアセキュリティーモジュール (HSM) に保存されている場合、それらはアンインストール中に削除されません。HSM をクリアまたはリセットして、公開鍵と秘密鍵が HSM から削除されるようにする方法については、HSM の付属ドキュメントを参照してください。

前提条件

server123 への root アクセス権限がある。
IdM 管理者の認証情報がある。

手順

IdM 環境で統合 DNS が使用されている場合は、server123 が唯一の 有効な DNS サーバーではないことを確認してください。
```
ipa server-role-find --role 'DNS server'
```
```
[root@server123 ~]# ipa server-role-find --role 'DNS server'
----------------------
2 server roles matched
----------------------
  Server name: server456.idm.example.com
  Role name: DNS server
  Role status: enabled
[...]
----------------------------
Number of entries returned 2
----------------------------
```
Copy to Clipboard Toggle word wrap
トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-dns-install(1) の man ページを参照してください。
IdM 環境で統合認証局 (CA) が使用されている場合は、以下を行います。
1. server123 が唯一の 有効 な CA サーバーではないことを確認します。
  [root@server123 ~]# ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: CA server Role status: enabled Server name: r8server.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
  Copy to Clipboard Toggle word wrap
  トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-ca-install(1) の man ページを参照してください。
2. IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の 有効な Key Recovery Authority (KRA) サーバーではないことを確認します。
  [root@server123 ~]# ipa server-role-find --role 'KRA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: KRA server Role status: enabled Server name: r8server.idm.example.com Role name: KRA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
  Copy to Clipboard Toggle word wrap
  トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、man ipa-kra-install(1) を参照してください。
3. server123.idm.example.com が CA 更新サーバーではないことを確認します。
  [root@server123 ~]# ipa config-show | grep 'CA renewal' IPA CA renewal master: r8server.idm.example.com
  Copy to Clipboard Toggle word wrap
  server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、IdM CA 更新サーバーの変更およびリセットを参照してください。
4. server123.idm.example.com が現在の証明書失効リスト (CRL) パブリッシャーではないことを確認します。
  [root@server123 ~]# ipa-crlgen-manage status CRL generation: disabled
  Copy to Clipboard Toggle word wrap
  出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、IdM CA サーバーでの CRL の生成を参照してください。
トポロジー内の別の IdM サーバーに接続します。
```
ssh idm_user@server456
```
```
$ ssh idm_user@server456
```
Copy to Clipboard Toggle word wrap
サーバーで、IdM 管理者の認証情報を取得します。
```
kinit admin
```
```
[idm_user@server456 ~]$ kinit admin
```
Copy to Clipboard Toggle word wrap
トポロジー内のサーバーに割り当てられた DNA ID 範囲を表示します。
```
ipa-replica-manage dnarange-show
```
```
[idm_user@server456 ~]$ ipa-replica-manage dnarange-show
server123.idm.example.com: 1001-1500
server456.idm.example.com: 1501-2000
[...]
```
Copy to Clipboard Toggle word wrap
出力は、DNA ID 範囲が server123 と server456 の両方に割り当てられていることを示しています。
server123 がトポロジー内で DNA ID 範囲が割り当てられた唯一の IdM サーバーである場合、server456 でテスト IdM ユーザーを作成して、サーバーに DNA ID 範囲が割り当てられていることを確認します。
```
ipa user-add test_idm_user
```
```
[idm_user@server456 ~]$ ipa user-add test_idm_user
```
Copy to Clipboard Toggle word wrap
トポロジーから server123.idm.example.com を削除します。
```
ipa server-del server123.idm.example.com
```
```
[idm_user@server456 ~]$ ipa server-del server123.idm.example.com
```
Copy to Clipboard Toggle word wrap
重要
server123 を削除してトポロジーが切断されると、スクリプトが警告を発します。削除を続行できるようにするために、残りのレプリカ間でレプリカ合意を作成する方法は、CLI を使用した 2 台のサーバー間のレプリケーションの設定を参照してください。
注記
ipa server-del コマンドを実行すると、ドメイン と ca 接尾辞の両方について、server123 に関連するすべてのレプリケーションデータと合意が削除されます。これは、最初に ipa-replica-manage del server123 コマンドを使用してこれらのデータを削除する必要があったドメインレベル 0 IdM トポロジーとは対照的です。ドメインレベル 0 の IdM トポロジーは、RHEL 7.2 以前で実行されているトポロジーです。ipa domainlevel-get コマンドを使用して、現在のドメインレベルを表示します。
server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。
```
ipa-server-install --uninstall
```
```
[root@server123 ~]# ipa-server-install --uninstall
...
Are you sure you want to continue with the uninstall procedure? [no]: true
```
Copy to Clipboard Toggle word wrap
server123.idm.example.com を指定しているネームサーバー (NS) の DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、Deleting DNS records in the IdM CLI を参照してください。

第11章 IdM サーバーの名前変更
リンクのコピー

既存の Identity Management (IdM) サーバーのホスト名は変更できません。異なる名前のレプリカでサーバーを置き換えます。

手順

既存のサーバーの代わりになる新しいレプリカをインストールし、このレプリカに必要なホスト名と IP アドレスが指定されるようにします。詳細は、IdM レプリカのインストールを参照してください。
重要
アンインストールするサーバーが証明書失効リスト (CRL) パブリッシャーサーバーである場合は、続行する前に別のサーバーを CRL パブリッシャーサーバーに指定してください。
移行手順のコンテキストでこの設定を行う方法は、以下のセクションを参照してください。
- RHEL 8 IdM CA サーバーでの CRL 生成の停止
- 新しい RHEL 9 IdM CA サーバーでの CRL 生成の開始
既存の IdM サーバーインスタンスを停止します。
```
ipactl stop
```
```
[root@old_server ~]# ipactl stop
```
Copy to Clipboard Toggle word wrap
IdM サーバーのアンインストールの説明に従って、既存のサーバーをアンインストールします。

第12章 IdM の更新およびダウンロード
リンクのコピー

12.1. IdM パッケージの更新
リンクのコピー

dnf ユーティリティーを使用して、システムの Identity Management (IdM) パッケージを更新できます。

前提条件

RHEL システムに関連するこれまでにリリース済みのエラータをすべて適用している。詳細は、How do I apply package updates to my RHEL system? (KCS 記事) を参照してください。

手順

以下のオプションのいずれかを選択します。
- プロファイルに関連し、利用可能な更新がある IdM パッケージをすべて更新するには、次のコマンドを実行します。
  # dnf upgrade ipa-*
  Copy to Clipboard Toggle word wrap
- 有効になっているリポジトリーから、プロファイルで利用可能な最新バージョンに合わせて、パッケージをインストールまたは更新するには、次のコマンドを実行します。
  # dnf distro-sync ipa-*
  Copy to Clipboard Toggle word wrap

少なくとも 1 台のサーバーで IdM パッケージを更新すると、トポロジー内のその他のすべてのサーバーでパッケージを更新しなくても、更新されたスキーマを受け取ります。これは、新しいスキーマを使用する新しいエントリーを、その他のサーバー間で確実に複製できます。

警告

複数の IdM サーバーを更新する場合は、サーバーを更新してから別のサーバーを更新するまで、10 分以上お待ちください。ただし、サーバーの更新が成功するまでに必要な時間は、デプロイメントされたトポロジー、接続のレイテンシー、更新で生成した変更の数により異なります。

複数のサーバーで、同時、またはあまり間隔をあけずに更新を行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。

重要

次のマイナーバージョンにのみアップグレードできます。たとえば、RHEL 9.4 で IdM をアップグレードするには、RHEL 9.3 の IdM からアップグレードする必要があります。マイナーバージョンをスキップすることでアップグレードすると、問題が発生する可能性があります。または、RHEL Extended Update Support (EUS)サブスクリプションを使用している場合は、次の EUS リリースにのみアップグレードできます。たとえば、RHEL 9.4 EUS で IdM を実行している場合、アップグレードで次にサポートされるバージョンは RHEL 9.6 EUS です。サポートされている次のバージョンを確認するには、Red Hat Enterprise Linux のライフサイクルページを参照してください。

12.2. IdM パッケージのダウングレード
リンクのコピー

Red Hat は、Identity Management のダウングレードをサポートしていません。

第13章 IdM クライアントをインストールするためのシステムの準備
リンクのコピー

Identity Management (IdM) クライアントをインストールする前に、システムが以下の条件を満たしていることを確認してください。

13.1. IdM クライアントのインストールをサポートする RHEL のバージョン
リンクのコピー

IdM サーバーが Red Hat Enterprise Linux 9 の最新マイナーバージョンで実行されている Identity Management デプロイメントでは、以下の最新マイナーバージョンで実行されているクライアントがサポートされます。

RHEL 7
RHEL 8
RHEL 9

注記

他のクライアントシステム (Ubuntu など) は IdM 9 サーバーと連携できますが、Red Hat では、これらのクライアントのサポートを提供していません。

13.2. IdM クライアントの DNS 要件
リンクのコピー

デフォルトでは、クライアントインストーラーは、ホスト名の親であるすべてのドメインの DNS SRV レコード _ldap._tcp.DOMAIN を検索します。たとえば、クライアントマシンのホスト名が client1.idm.example.com である場合は、インストーラーが _ldap._tcp.idm.example.com、_ldap._tcp.example.com、および _ldap._tcp.com の DNS SRV レコードから IdM サーバーのホスト名を取得しようとします。その後、検出されたドメインを使用して、クライアントコンポーネント (SSSD や Kerberos 5 設定など) をマシン上で設定します。

しかし、IdM クライアントのホスト名を、プライマリー DNS ドメインの一部にする必要はありません。クライアントマシンのホスト名が IdM サーバーのサブドメインでない場合は、IdM ドメインを ipa-client-install コマンドの --domain オプションとして渡します。これにより、クライアントのインストール後に、SSSD コンポーネントと Kerberos コンポーネントの両方の設定ファイルにドメインが設定され、IdM サーバーの自動検出に使用されます。

13.3. IdM クライアントのポート要件
リンクのコピー

Identity Management (IdM) クライアントは、IdM サーバーの複数のポートに接続し、サービスと通信します。

IdM クライアントでこれらのポートを 送信方向 に開く必要があります。firewalld などの、送信パケットにフィルターを設定しないファイアウォールを使用している場合は、ポートを送信方向で使用できます。

13.4. IdM クライアントの IPv6 要件
リンクのコピー

Identity Management (IdM) では、IdM に登録するホストのカーネルで IPv6 プロトコルを有効にする必要はありません。たとえば、内部ネットワークで IPv4 プロトコルのみを使用する場合には、System Security Services Daemon (SSSD) が IPv4 だけを使用して IdM サーバーと通信するように設定できます。/etc/sssd/sssd.conf ファイルの [domain/NAME] セクションに次の行を追加して、これを設定できます。

lookup_family_order = ipv4_only

lookup_family_order = ipv4_only

Copy to Clipboard

Toggle word wrap

13.5. IdM クライアントに必要なパッケージのインストール
リンクのコピー

ipa-client パッケージをインストールすると、System Security Services Daemon (SSSD) パッケージなど、依存関係として必要な他のパッケージが自動的にインストールされます。

手順

ipa-client パッケージをインストールします。

dnf install ipa-client

# dnf install ipa-client

Copy to Clipboard

Toggle word wrap

第14章 IdM クライアントのインストール
リンクのコピー

ここでは、ipa-client-install ユーティリティーを使用して、システムを Identity Management (IdM) クライアントとして設定する方法を説明します。システムを IdM クライアントとして設定すると、IdM ドメインに登録され、システムがドメインの IdM サーバーで IdM サービスを使用できるようになります。

Identity Management (IdM) クライアントを正しくインストールするには、クライアントの登録に使用できる認証情報を指定する必要があります。

14.1. 前提条件
リンクのコピー

これで、IdM クライアントをインストールするためのシステムが準備できました。詳細は、IdM クライアントをインストールするためのシステムの準備を参照してください。

14.2. ユーザー認証情報を使用したクライアントのインストール: 対話的なインストール
リンクのコピー

この手順に従い、登録権限のあるユーザーの認証情報を使用してシステムをドメインに登録し、Identity Management (IdM) クライアントを対話的にインストールします。

前提条件

クライアントを IdM ドメインに登録する権限を持つユーザーの認証情報がある。たとえば、登録管理者 (Enrollment Administrator) ロールを持つ hostadmin ユーザーなどが該当する。

手順

IdM クライアントとして設定するシステムで ipa-client-install ユーティリティーを実行し、ユースケースに対応するオプションを追加します。
- ユーザーのホームディレクトリーが存在しない場合は PAM を設定するため、--mkhomedir オプションを追加します。
- 以下のいずれかの状況で、クライアントシステムの IP アドレスで DNS レコードを更新する --enable-dns-updates オプションを追加することを検討してください。
  - クライアントには、Dynamic Host Configuration Protocol を使用して発行された動的 IP アドレスがあります。
  - クライアントに静的 IP アドレスが割り当てられていても、クライアントに割り当てられていて、IdM サーバーはそれを認識していません。
    重要
    DNS サーバーが GSS-TSIG プロトコルを使用した DNS エントリーの更新を受け入れる場合に限り、--enable-dns-updates オプションを使用します。クライアントを、統合 DNS のある IdM サーバーに登録する場合は、この条件が満たされます。
以下に例を示します。
```
ipa-client-install --mkhomedir --enable-dns-updates
```
```
# ipa-client-install --mkhomedir --enable-dns-updates
```
Copy to Clipboard Toggle word wrap
インストールスクリプトは、DNS レコードなどの必要な設定をすべて自動的に取得しようとします。
- IdM DNS ゾーンで SRV レコードが正しく設定されていると、スクリプトはその他に必要な値をすべて自動的に検出し、表示します。yes を入力して確定します。
  Client hostname: client.example.com Realm: EXAMPLE.COM DNS Domain: example.com IPA Server: server.example.com BaseDN: dc=example,dc=com Continue to configure the system with these values? [no]: yes
  Copy to Clipboard Toggle word wrap
- システムを別の値でインストールする場合は no を入力します。その後、ipa-client-install を再度実行し、コマンドラインオプションを ipa-client-install に追加して必要な値を指定します。以下に例を示します。
  - --hostname
  - --realm
  - --domain
  - --server
  - --mkhomedir
  重要
  完全修飾ドメイン名は、有効な DNS 名である必要があります。
  数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
  ホスト名がすべて小文字である。大文字は使用できません。
- スクリプトが一部の設定を自動的に取得できなかった場合は、値を入力するように求められます。
スクリプトにより、アイデンティティーがクライアントの登録に使用されるユーザーの入力が求められます。たとえば、登録管理者 (Enrollment Administrator) ロールを持つ hostadmin ユーザーなどが該当します。
```
User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:
```
```
User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:
```
Copy to Clipboard Toggle word wrap
インストールスクリプトにより、クライアントが設定されます。動作が完了するまで待ちます。
```
Client configuration complete.
```
```
Client configuration complete.
```
Copy to Clipboard Toggle word wrap

14.3. ワンタイムパスワードでクライアントのインストール: 対話的なインストール
リンクのコピー

以下の手順に従って、ワンタイムパスワードを使用してシステムをドメインに登録し、Identity Management (IdM) クライアントを対話的にインストールします。

前提条件

ドメインのサーバーに、クライアントシステムを IdM ホストとして追加している。ipa host-add コマンドに --random オプションを使用して、登録のワンタイムパスワードを無作為に生成します。
注記
ipa host-add <client_fqdn> コマンドでは、クライアントの FQDN が DNS を介して解決可能である必要があります。解決できない場合は、--ip address オプションを使用して IdM クライアントシステムの IP アドレスを指定するか、--force オプションを使用します。
```
ipa host-add client.example.com --random
```
```
$ ipa host-add client.example.com --random
 --------------------------------------------------
 Added host "client.example.com"
 --------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
```
Copy to Clipboard Toggle word wrap
注記
生成されたパスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録の完了後、このパスワードは適切なホストキータブに置き換えられます。

手順

IdM クライアントとして設定するシステムで ipa-client-install ユーティリティーを実行し、ユースケースに対応するオプションを追加します。
- --password オプションを使用して、1 回限りのランダムパスワードを指定します。パスワードに特殊文字が含まれることが多いため、パスワードを一重引用符 (') で囲みます。
  # ipa-client-install --mkhomedir --password=password
  Copy to Clipboard Toggle word wrap
- 以下のいずれかの状況で、クライアントシステムの IP アドレスで DNS レコードを更新する --enable-dns-updates オプションを追加することを検討してください。
  - クライアントには、Dynamic Host Configuration Protocol を使用して発行された動的 IP アドレスがあります。
  - クライアントに静的 IP アドレスが割り当てられていても、クライアントに割り当てられていて、IdM サーバーはそれを認識していません。
    重要
    DNS サーバーが GSS-TSIG プロトコルを使用した DNS エントリーの更新を受け入れる場合に限り、--enable-dns-updates オプションを使用します。クライアントを、統合 DNS のある IdM サーバーに登録する場合は、この条件が満たされます。
以下に例を示します。
```
ipa-client-install --password 'W5YpARl=7M.n' --enable-dns-updates --mkhomedir
```
```
# ipa-client-install --password 'W5YpARl=7M.n' --enable-dns-updates --mkhomedir
```
Copy to Clipboard Toggle word wrap
インストールスクリプトは、DNS レコードなどの必要な設定をすべて自動的に取得しようとします。
- IdM DNS ゾーンで SRV レコードが正しく設定されていると、スクリプトはその他に必要な値をすべて自動的に検出し、表示します。yes を入力して確定します。
  Client hostname: client.example.com Realm: EXAMPLE.COM DNS Domain: example.com IPA Server: server.example.com BaseDN: dc=example,dc=com Continue to configure the system with these values? [no]: yes
  Copy to Clipboard Toggle word wrap
- システムを別の値でインストールする場合は no を入力します。その後、ipa-client-install を再度実行し、コマンドラインオプションを ipa-client-install に追加して必要な値を指定します。以下に例を示します。
  - --hostname
  - --realm
  - --domain
  - --server
  - --mkhomedir
  重要
  完全修飾ドメイン名は、有効な DNS 名である必要があります。
  数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
  ホスト名がすべて小文字である。大文字は使用できません。
- スクリプトが一部の設定を自動的に取得できなかった場合は、値を入力するように求められます。
インストールスクリプトにより、クライアントが設定されます。動作が完了するまで待ちます。
```
Client configuration complete.
```
```
Client configuration complete.
```
Copy to Clipboard Toggle word wrap

14.4. クライアントのインストール: 非対話的なインストール
リンクのコピー

非対話的なインストールでは、コマンドラインオプションを使用して、ipa-client-install ユーティリティーに必要な情報をすべて提供する必要があります。ここでは、非対話的なインストールに最低限必要なオプションを説明します。

クライアント登録の認証方法のオプション

利用可能なオプションは以下のとおりです。

--principal および --password - クライアントを登録する権限のあるユーザーの認証情報を指定します。
--random - クライアントに対して無作為に生成されたワンタイムパスワードを指定します。
--keytab - 前回登録時のキータブを指定します。

無人インストールのオプション

--unattended オプション - ユーザーによる確認を必要とせずにインストールを実行できるようにします。

SRV レコードが IdM DNS ゾーンで正しく設定されている場合は、スクリプトが自動的に必要な値をすべて検出します。スクリプトが自動的に値を検出できない場合は、以下のようなコマンドラインオプションを使用して指定してください。

--hostname - クライアントマシンの静的完全修飾ドメイン名 (FQDN) を指定します。
重要
FQDN は有効な DNS 名である必要があります。
- 数字、アルファベット、およびハイフンのみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。大文字は使用できません。
--domain - 既存の IdM デプロイメントのプライマリー DNS ドメインを指定します (例: example.com)。この名前は、IdM Kerberos レルム名を小文字で表しています。
--server - 接続する IdM サーバーの FQDN を指定します。このオプションが使用されると、Kerberos の DNS 自動検出が無効になり、KDC および管理サーバーの固定リストが設定されます。通常の状態では、サーバーのリストはプライマリー IdM DNS ドメインから取得されるため、このオプションは必須ではありません。
--realm - 既存の IdM デプロイメントの Kerberos レルムを指定します。通常、IdM インストールで使用するプライマリー DNS ドメインを大文字で表したものです。通常の状態では、レルム名は IdM サーバーから取得されるため、このオプションは必須ではありません。

非対話的なインストールを行う基本的な ipa-client-install コマンドの例は次のとおりです。

ipa-client-install --password 'W5YpARl=7M.n' --mkhomedir --unattended

# ipa-client-install --password 'W5YpARl=7M.n' --mkhomedir --unattended

Copy to Clipboard

Toggle word wrap

非対話的なインストールを行う、追加のオプションを指定した ipa-client-install コマンドの例は次のとおりです。

ipa-client-install --password 'W5YpARl=7M.n' --domain idm.example.com --server server.idm.example.com --realm IDM.EXAMPLE.COM --mkhomedir --unattended

# ipa-client-install --password 'W5YpARl=7M.n' --domain idm.example.com --server server.idm.example.com --realm IDM.EXAMPLE.COM --mkhomedir --unattended

Copy to Clipboard

Toggle word wrap

14.5. クライアントインストール後に事前設定された IdM の削除
リンクのコピー

ipa-client-install スクリプトは、/etc/openldap/ldap.conf ファイルおよび /etc/sssd/sssd.conf ファイルから、以前の LDAP 設定および System Security Services Daemon (SSSD) 設定を削除します。クライアントをインストールする前にこれらのファイルの設定を変更すると、スクリプトにより新しいクライアントの値が追加されますが、コメントアウトされます。以下に例を示します。

BASE   dc=example,dc=com
URI    ldap://ldap.example.com

#URI ldaps://server.example.com # modified by IPA
#BASE dc=ipa,dc=example,dc=com # modified by IPA

BASE   dc=example,dc=com
URI    ldap://ldap.example.com

#URI ldaps://server.example.com # modified by IPA
#BASE dc=ipa,dc=example,dc=com # modified by IPA

Copy to Clipboard

Toggle word wrap

手順

Identity Management (IdM) の新しい設定値を適用するには、以下を行います。

/etc/openldap/ldap.conf および /etc/sssd/sssd.conf を開きます。
以前の設定を削除します。
新しい IdM 設定のコメントを解除します。
システム全体の LDAP 設定に依存するサーバープロセスの中には、再起動しないと変更が適用されない場合があります。openldap ライブラリーを使用するアプリケーションでは通常、起動時に設定がインポートされます。

14.6. IdM クライアントのテスト
リンクのコピー

コマンドラインにより、ipa-client-install が正常に実行されたことが通知されますが、独自のテストを行うこともできます。

Identity Management (IdM) クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin ユーザーを確認するには、次のコマンドを実行します。

id admin

[user@client ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Copy to Clipboard

Toggle word wrap

認証が適切に機能することをテストするには、root 以外のユーザーで su を実行し、root に切り替えます。

su -

[user@client ~]$ su -
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[root@client ~]#

Copy to Clipboard

Toggle word wrap

14.7. IdM クライアントのインストール時に実行される接続
リンクのコピー

IdM クライアントのインストール時に実行する要求には、Identity Management (IdM) のクライアントインストールツールである ipa-client-install により実行される操作の一覧が記載されています。

Expand

表14.1 IdM クライアントのインストール時に実行される要求
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレスを検出。(任意) A/AAAA および SSHFP レコードを追加。
IdM レプリカ上のポート 88 (TCP/TCP6 および UDP/UDP6) への要求	Kerberos	Kerberos チケットの取得。
検出または設定された IdM サーバー上の IdM Apache ベースの Web サービスへの JSON-RPC 呼び出し	HTTPS	IdM クライアント登録。LDAP の方法が失敗した場合に CA 証明書チェーンを取得。必要な場合は証明書の発行を要求。
SASL GSSAPI 認証、プレーン LDAP、またはこの両方を使用した、IdM サーバー上のポート 389 (TCP/TCP6) への要求	LDAP	IdM クライアント登録、SSSD プロセスによるアイデンティティーの取得、ホストプリンシパルの Kerberos キーの取得。
ネットワークタイムプロトコル (NTP) の検出および解決 (任意)	NTP	クライアントシステムと NTP サーバー間の時間を同期。

14.8. インストール後のデプロイメント実行時の IdM クライアントのサーバーとの通信
リンクのコピー

Identity Management (IdM) フレームワークのクライアント側は 2 つの異なるアプリケーションで実装されます。

ipa コマンドラインインターフェイス (CLI)
(オプション) ブラウザーベースの Web UI

CLI のインストール後の操作は、IdM クライアントのインストール後のデプロイメント実行時に CLI により実行される操作を表示します。Web UI のインストール後の操作は、IdM クライアントのポストインストールのデプロイメント実行時に Web UI により実行される操作を示します。

Expand

表14.2 CLI のインストール後の操作
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレス検出。
IdM レプリカ上のポート 88 (TCP/TCP6 および UDP/UDP6) およびポート 464 (TCP/TCP6 および UDP/UDP6) への要求	Kerberos	Kerberos チケットの取得。Kerberos パスワードの変更。IdM Web UI への認証。
検出または設定された IdM サーバー上の IdM Apache ベースの Web サービスへの JSON-RPC 呼び出し	HTTPS	`ipa` ユーティリティーの使用。

Expand

表14.3 Web UI のインストール後の操作
操作	使用プロトコル	目的
検出または設定された IdM サーバー上の IdM Apache ベースの Web サービスへの JSON-RPC 呼び出し	HTTPS	IdM Web UI ページの取得。

関連情報

SSSD デーモンが IdM および Active Directory サーバーで利用可能なサービスと通信する方法の詳細は、SSSD 通信パターンを参照してください。
certmonger デーモンが IdM および Active Directory サーバーで利用可能なサービスと通信する方法の詳細は、Certmonger 通信パターンを参照してください。

14.9. SSSD の通信パターン
リンクのコピー

システムセキュリティーサービスデーモン (System Security Services Daemon: SSSD) は、リモートディレクトリーと認証メカニズムにアクセスするシステムサービスです。Identity Management (IdM) クライアントに設定すると、認証、認可、その他の ID 情報、およびその他のポリシー情報を提供する IdM サーバーに接続します。IdM サーバーと Active Directory (AD) が信頼関係にある場合、SSSD は AD にも接続し、Kerberos プロトコルを使用して AD ユーザーの認証を実行します。デフォルトでは SSSD は Kerberos を使用してローカル以外のユーザーを認証します。特別な状況では、代わりに LDAP プロトコルを使用するように SSSD を設定することがあります。

SSSD は、複数のサーバーと通信するように設定できます。以下の表は、IdM での SSSD の一般的な通信パターンを示しています。

Expand

表14.4 IdM サーバーとの通信時における IdM クライアントの SSSD の通信パターン
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレス検出。
Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求	Kerberos	Kerberos チケットの取得。Kerberos パスワードの変更。
SASL GSSAPI 認証、プレーン LDAP、またはこの両方を使用した、IdM サーバー上のポート 389 (TCP/TCP6) への要求	LDAP	IdM ユーザーおよびホストの情報を取得。HBAC および sudo ルールのダウンロード。マップ、SELinux ユーザーコンテキスト、SSH 公開鍵、および IdM LDAP に保存されるその他の情報の自動マウント。
(任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。	HTTP	スマートカードにインストールされた証明書の状態に関する情報の取得。

Expand

表14.5 Active Directory ドメインコントローラーとの通信時における信頼エージェントとして機能する IdM サーバー上の SSSD の通信パターン
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレス検出。
Identity Management レプリカおよび Active Directory ドメインコントローラー上のポート 88 (TCP/TCP6 と UDP/UDP6)、464 (TCP/TCP6 と UDP/UDP6)、および 749 (TCP/TCP6) への要求	Kerberos	Kerberos チケットの取得。Kerberos パスワードの変更。Kerberos をリモートで管理。
ポート 389 (TCP/TCP6 および UDP/UDP6) およびポート 3268 (TCP/TCP6) への要求	LDAP	Active Directory ユーザーおよびグループ情報のクエリー。Active Directory ドメインコントローラーの検出。
(任意) スマートカード認証の場合、OCSP (Online Certificate Status Protocol) レスポンダーへの要求 (設定されている場合)。通常、ポート 80 で行われますが、クライアント証明書にある OCSP レスポンダー URL の実際の値により異なります。	HTTP	スマートカードにインストールされた証明書の状態に関する情報の取得。

関連情報

インストール後のデプロイメント実行時の IdM クライアントのサーバーとの通信

14.10. certmonger の通信パターン
リンクのコピー

Certmonger は、Identity Management (IdM) サーバーおよび IdM クライアント上で実行するデーモンで、ホスト上のサービスに関連する SSL 証明書の更新を適時更新できるようにします。表14.6「certmonger の通信パターン」は、IdM サーバーで certmonger ユーティリティーにより実行される操作を示しています。

Expand

表14.6 certmonger の通信パターン
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレス検出。
IdM レプリカ上のポート 88 (TCP/TCP6 および UDP/UDP6) およびポート 464 (TCP/TCP6 および UDP/UDP6) への要求	Kerberos	Kerberos チケットの取得。
検出または設定された IdM サーバー上の IdM Apache ベースの Web サービスへの JSON-RPC 呼び出し	HTTPS	新しい証明書の要求。
IdM サーバーのポート 8080 (TCP/TCP6) でのアクセス	HTTP	OCSP (Online Certificate Status Protocol) レスポンダーおよび証明書の状態の取得。
(最初にインストールされたサーバーまたは証明書の追跡が移動したサーバー上) IdM サーバーのポート 8443 (TCP/TCP6) でのアクセス	HTTPS	IdM サーバー上での認証局の管理 (IdM サーバーおよびレプリカのインストール時のみ)。サーバーの `certmonger` は、CA 関連の証明書の更新のために、ポート 8080 および 8443 上の独自のローカルサーバーにのみ接続します。

関連情報

インストール後のデプロイメント実行時の IdM クライアントのサーバーとの通信

第15章キックスタートによる IdM クライアントのインストール
リンクのコピー

キックスタートの登録により、Red Hat Enterprise Linux のインストール時に新しいシステムが自動的に Identity Management (IdM) ドメインに追加されます。

15.1. キックスタートによるクライアントのインストール
リンクのコピー

以下の手順に従って、キックスタートファイルを使用して Identity Management (IdM) クライアントをインストールします。

前提条件

キックスタート登録前に sshd サービスを起動しない。クライアントを登録する前に sshd を開始すると、SSH キーが自動的に生成されますが、「クライアントインストール用のキックスタートファイル」のキックスタートファイルは同じ目的でスクリプトを使用し、これが推奨される方法になります。

手順

IdM サーバーでホストエントリーを事前作成し、エントリーの一時パスワードを設定します。
```
ipa host-add client.example.com --password=secret
```
```
$ ipa host-add client.example.com --password=secret
```
Copy to Clipboard Toggle word wrap
キックスタートがこのパスワードを使用して、クライアントのインストール時に認証し、最初の認証試行後に無効にします。クライアントが正常にインストールされると、キータブを使用して認証が行われます。
「クライアントインストール用のキックスタートファイル」に記載されている内容でキックスタートファイルを作成します。network コマンドを使用して、ネットワークがキックスタートファイルで適切に設定されているようにしてください。
キックスタートファイルを使用して、IdM クライアントをインストールします。

15.2. クライアントインストール用のキックスタートファイル
リンクのコピー

キックスタートファイルを使用して、Identity Management (IdM) クライアントをインストールできます。キックスタートファイルの内容は、こちらで概説されている特定の要件を満たしている必要があります。

インストールするパッケージリストに含まれる ipa-client パッケージ

キックスタートファイルの %packages セクションに、ipa-client パッケージを追加します。以下に例を示します。

%packages
...
ipa-client
...

%packages
...
ipa-client
...

Copy to Clipboard

Toggle word wrap

IdM クライアントのインストール後の手順

インストール後の手順には以下が含まれている必要があります。

登録前に SSH キーが確実に生成されるようにする手順
以下を指定して ipa-client-install ユーティリティーを実行する手順
- IdM ドメインサービスのアクセスおよび設定に必要なすべての情報
- 「キックスタートによるクライアントのインストール」に従って、IdM サーバーにクライアントホストを事前作成する際に設定するパスワード

たとえば、ワンタイムパスワードを使用し、DNS からではなくコマンドラインから必要なオプションを取得するキックスタートインストールのポストインストール手順は次のようになります。

%post --log=/root/ks-post.log

# Generate SSH keys; ipa-client-install uploads them to the IdM server by default
/usr/libexec/openssh/sshd-keygen rsa

# Run the client install script
/usr/sbin/ipa-client-install --hostname=client.example.com --domain=EXAMPLE.COM --enable-dns-updates --mkhomedir -w secret --realm=EXAMPLE.COM --server=server.example.com

%post --log=/root/ks-post.log

# Generate SSH keys; ipa-client-install uploads them to the IdM server by default
/usr/libexec/openssh/sshd-keygen rsa

# Run the client install script
/usr/sbin/ipa-client-install --hostname=client.example.com --domain=EXAMPLE.COM --enable-dns-updates --mkhomedir -w secret --realm=EXAMPLE.COM --server=server.example.com

Copy to Clipboard

Toggle word wrap

任意で、キックスタートファイルに以下のような他のオプションを含めることもできます。

非対話的なインストールでは、--unattended オプションを ipa-client-install に追加します。
クライアントのインストールスクリプトがマシンの証明書を要求できるようにするには、以下を行います。
- --request-cert オプションを ipa-client-install に追加します。
- キックスタートの chroot 環境で、getcert ユーティリティーおよび ipa-client-install ユーティリティーの両方に対して /dev/null にシステムバスのアドレスを設定します。これには、キックスタートファイルのポストインストール手順で ipa-client-install 手順の前に次の行を追加します。
  # env DBUS_SYSTEM_BUS_ADDRESS=unix:path=/dev/null getcert list # env DBUS_SYSTEM_BUS_ADDRESS=unix:path=/dev/null ipa-client-install
  Copy to Clipboard Toggle word wrap

15.3. IdM クライアントのテスト
リンクのコピー

コマンドラインにより、ipa-client-install が正常に実行されたことが通知されますが、独自のテストを行うこともできます。

Identity Management (IdM) クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin ユーザーを確認するには、次のコマンドを実行します。

id admin

[user@client ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Copy to Clipboard

Toggle word wrap

認証が適切に機能することをテストするには、root 以外のユーザーで su を実行し、root に切り替えます。

su -

[user@client ~]$ su -
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[root@client ~]#

Copy to Clipboard

Toggle word wrap

第16章 IdM クライアントのインストールに関するトラブルシューティング
リンクのコピー

次のセクションでは、失敗した IdM クライアントのインストールに関する情報を収集する方法、一般的なインストールの問題を解決する方法を説明します。

16.1. IdM クライアントのインストールエラーの確認
リンクのコピー

Identity Management(IdM) クライアントをインストールすると、デバッグ情報が /var/log/ipaclient-install.log に追加されます。クライアントのインストールに失敗した場合には、インストーラーは障害をログに記録し、変更をロールバックしてホストに変更を加えます。インストールが失敗する理由は、インストーラーがロールバック手順も記録するため、ログファイルの最後には存在しない可能性があります。

失敗した IdM クライアントのインストールをトラブルシューティングするには、/var/log/ipaclient-install.log ファイルの ScriptError とラベルが付いた行を確認し、この情報を使用して、対応する問題を解決します。

前提条件

IdM ログファイルの内容を表示するには、root 権限が必要である。

手順

grep ユーティリティーを使用して、/var/log/ipaserver-install.log ファイルからキーワード ScriptError があれば、すべて取得します。

sudo grep ScriptError /var/log/ipaclient-install.log

[user@server ~]$ sudo grep ScriptError /var/log/ipaclient-install.log
[sudo] password for user:
2020-05-28T18:24:50Z DEBUG The ipa-client-install command failed, exception: ScriptError: One of password / principal / keytab is required.

Copy to Clipboard

Toggle word wrap

ログファイルを対話的に確認するには、less ユーティリティーを使用してログファイルの末尾を開き、↑ および ↓ 矢印キーを使用して移動します。
```
sudo less -N +G /var/log/ipaclient-install.log
```
```
[user@server ~]$ sudo less -N +G /var/log/ipaclient-install.log
```
Copy to Clipboard Toggle word wrap

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、IdM クライアントのインストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、クライアントの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

16.2. クライアントインストールが DNS レコードの更新に失敗した場合の問題の解決
リンクのコピー

IdM クライアントインストーラーは、nsupdate コマンドで PTR、SSHFP、および追加の DNS レコードを作成します。ただし、クライアントソフトウェアのインストールおよび設定後にクライアントが DNS レコードを更新できない場合には、インストールプロセスは失敗します。

この問題を修正するには、/var/log/client-install.log で設定を確認し、DNS エラーを確認します。

前提条件

IdM 環境の DNS ソリューションとして IdM DNS を使用している。

手順

クライアントが所属する DNS ゾーンの動的更新が有効になっていることを確認します。
```
ipa dnszone-mod idm.example.com. --dynamic-update=TRUE
```
```
[user@server ~]$ ipa dnszone-mod idm.example.com. --dynamic-update=TRUE
```
Copy to Clipboard Toggle word wrap

DNS サービスを実行している IdM サーバーで、TCP プロトコルと UDP プロトコルの両方でポート 53 が開かれていることを確認します。

sudo firewall-cmd --permanent --add-port=53/tcp --add-port=53/udp
firewall-cmd --runtime-to-permanent

[user@server ~]$ sudo firewall-cmd --permanent --add-port=53/tcp --add-port=53/udp
[sudo] password for user:
success
[user@server ~]$ firewall-cmd --runtime-to-permanent
success

Copy to Clipboard

Toggle word wrap

grep ユーティリティーを使用して、/var/log/client-install.log から nsupdate コマンドの内容を取得し、どの DNS レコードの更新に失敗しているかを確認します。
```
sudo grep nsupdate /var/log/ipaclient-install.log
```
```
[user@server ~]$ sudo grep nsupdate /var/log/ipaclient-install.log
```
Copy to Clipboard Toggle word wrap

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、インストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、クライアントの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

16.3. クライアントのインストールが IdM Kerberos レルムへの参加に失敗した場合の問題の解決
リンクのコピー

クライアントが IdM Kerberos レルムに参加できない場合には、IdM クライアントのインストールプロセスに失敗します。

Joining realm failed: Failed to add key to the keytab
child exited with 11

Installation failed. Rolling back changes.

Joining realm failed: Failed to add key to the keytab
child exited with 11

Installation failed. Rolling back changes.

Copy to Clipboard

Toggle word wrap

空の Kerberos キータブが原因で、これに失敗します。

前提条件

システムファイルを削除するには、root 権限が必要です。

手順

/etc/krb5.keytab を削除します。

sudo rm /etc/krb5.keytab
ls /etc/krb5.keytab

[user@client ~]$ sudo rm /etc/krb5.keytab
[sudo] password for user:
[user@client ~]$ ls /etc/krb5.keytab
ls: cannot access '/etc/krb5.keytab': No such file or directory

Copy to Clipboard

Toggle word wrap

IdM クライアントのインストールを再試行します。

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、インストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、クライアントの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

16.4. クライアントのインストールで自動マウントの設定に失敗した場合の問題の解決
リンクのコピー

RHEL 7 では、クライアントのインストール時にクライアントの自動マウント場所を設定できます。RHEL 8 では、--automount-location <raleigh> を指定して ipa-client-install コマンドを実行しても、自動マウントの場所を設定できません。しかし、インストールの他の部分は正常に実行されます。そのため、インストール後に /usr/sbin/ipa-client-automount <raleigh> を実行すると、クライアントの自動マウント場所が正しく設定されます。

前提条件

自動マウント場所の設定を除いて、IdM クライアントのインストールが正常に進行した。次の CLI 出力が表示された。
```
The ipa-client-install command was successful.
```
```
The ipa-client-install command was successful.
```
Copy to Clipboard Toggle word wrap

手順

自動マウントの場所を設定します。

/usr/sbin/ipa-client-automount -U --location <raleigh>

/usr/sbin/ipa-client-automount -U --location <raleigh>

Copy to Clipboard

Toggle word wrap

第17章 IdM クライアントの再登録
リンクのコピー

クライアントのハードウェア障害などの理由で、クライアントマシンが破壊され、IdM サーバーとの接続が失われた場合は、キータブがあればクライアントを再登録できます。この場合は、同じホスト名でクライアントを IdM 環境に戻します。

17.1. IdM におけるクライアントの再登録
リンクのコピー

クライアントのハードウェア障害などの理由で、クライアントマシンが破壊され、IdM サーバーとの接続が失われた場合は、キータブがあればクライアントを再登録できます。この場合は、同じホスト名でクライアントを IdM 環境に戻します。

再登録の間、クライアントは新しい鍵 (Kerberos および SSH ) を生成しますが、LDAP データベースのクライアントのアイデンティティーは変更されません。再登録後、ホストは、IdM サーバーとの接続を失う前と同じ FQDN を持つ同じ LDAP オブジェクトに、キーとその他の情報を保持します。

重要

ドメインエントリーがアクティブなクライアントのみを再登録できます。クライアントをアンインストール (ipa-client-install --uninstall を使用) した場合や、ホストエントリーを無効 (ipa host-disable を使用) にした場合は再登録できません。

クライアントの名前を変更すると、再登録することができません。これは、IdM では、LDAP にあるクライアントのエントリーのキー属性がクライアントのホスト名 (FQDN) であるためです。クライアントの再登録中はクライアントの LDAP オブジェクトは変更されませんが、クライアントの名前を変更すると、クライアントの鍵とその他の情報は新しい FQDN を持つ異なる LDAP オブジェクトに格納されます。そのため、IdM からホストをアンインストールし、ホストのホスト名を変更して、新しい名前で IdM クライアントとしてインストールするのが、クライアントの名前を変更する唯一の方法です。クライアントの名前を変更する方法は IdM クライアントシステムの名前変更を参照してください。

クライアント再登録中に行われること

再登録時に、IdM は以下を行います。

元のホスト証明書を破棄する。
新規の SSH 鍵を作成する。
新規のキータブを生成する。

17.2. ユーザー認証情報を使用したクライアントの再登録: 対話的な再登録
リンクのコピー

許可されたユーザーの認証情報を使用して、Identity Management (IdM) クライアントを対話的に再登録します。

手順

同じホスト名のクライアントマシンを再作成します。
クライアントマシンで ipa-client-install --force-join コマンドを実行します。
```
ipa-client-install --force-join
```
```
# ipa-client-install --force-join
```
Copy to Clipboard Toggle word wrap
スクリプトにより、アイデンティティーがクライアントの再登録に使用されるユーザーの入力が求められます。たとえば、登録管理者 (Enrollment Administrator) ロールを持つ hostadmin ユーザーなどが該当します。
```
User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:
```
```
User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:
```
Copy to Clipboard Toggle word wrap

17.3. クライアントキータブを使用したクライアントの再登録: 非対話的な再登録
リンクのコピー

以前にデプロイしたクライアントシステムの krb5.keytab キータブファイルを使用して、非対話形式で Identity Management (IdM) クライアントを再登録できます。たとえば、クライアントのキータブを使用した再登録は自動インストールに適しています。

前提条件

別のシステムで、以前にデプロイしたクライアントのキータブをバックアップした。

手順

同じホスト名のクライアントマシンを再作成します。
バックアップの場所から、再作成したクライアントマシンの /tmp/ ディレクトリーなどにキータブファイルをコピーします。
重要
キータブを /etc/krb5.keytab ファイルに配置しないでください。ipa-client-install インストールスクリプトの実行中に、この場所から古いキーが削除されるためです。
ipa-client-install ユーティリティーを使用してクライアントを再登録します。--keytab オプションを使用してキータブの場所を指定します。
```
ipa-client-install --keytab /tmp/krb5.keytab
```
```
# ipa-client-install --keytab /tmp/krb5.keytab
```
Copy to Clipboard Toggle word wrap
注記
--keytab オプションで指定したキータブは、再登録を開始するための認証時にのみ使用されます。再登録中、IdM はクライアントに対して新しいキータブを生成します。

17.4. IdM クライアントのテスト
リンクのコピー

コマンドラインにより、ipa-client-install が正常に実行されたことが通知されますが、独自のテストを行うこともできます。

Identity Management (IdM) クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin ユーザーを確認するには、次のコマンドを実行します。

id admin

[user@client ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Copy to Clipboard

Toggle word wrap

認証が適切に機能することをテストするには、root 以外のユーザーで su を実行し、root に切り替えます。

su -

[user@client ~]$ su -
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[root@client ~]#

Copy to Clipboard

Toggle word wrap

第18章 IdM クライアントのアンインストール
リンクのコピー

管理者は、環境から Identity Management (IdM) クライアントを削除できます。

18.1. IdM クライアントのアンインストール
リンクのコピー

クライアントをアンインストールすると、クライアントが Identity Management (IdM) ドメインから削除され、SSSD (System Security Services Daemon) などの特定のシステムサービスの IdM 設定もすべて削除されます。これにより、クライアントシステムの以前の設定が復元します。

手順

ipa-client-install --uninstall コマンドを入力します。
```
ipa-client-install --uninstall
```
```
[root@client ~]# ipa-client-install --uninstall
```
Copy to Clipboard Toggle word wrap
(オプション) IdM ユーザーの Kerberos Ticket-granting Ticket (TGT) を取得できないことを確認します。
```
kinit admin
```
```
[root@client ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@client ~]#
```
Copy to Clipboard Toggle word wrap
Kerberos TGT チケットが正常に返された場合には、IdM クライアントのアンインストール: 以前に複数回インストールを行った場合の追加手順にあるアンインストール手順を実行してください。
クライアントで、特定した各キータブ (/etc/krb5.keytab を除く) から古い Kerberos プリンシパルを削除します。
```
ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
```
```
[root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
```
Copy to Clipboard Toggle word wrap

IdM サーバーで、IdM からクライアントホストの DNS エントリーをすべて削除します。

ipa dnsrecord-del

[root@server ~]# ipa dnsrecord-del
Record name: old-client-name
Zone name: idm.example.com
No option to delete specific record provided.
Delete all? Yes/No (default No): true
------------------------
Deleted record "old-client-name"

Copy to Clipboard

Toggle word wrap

IdM サーバーで、IdM LDAP サーバーからクライアントホストエントリーを削除します。これにより、すべてのサービスが削除され、そのホストに発行されたすべての証明書が無効になります。
```
ipa host-del client.idm.example.com
```
```
[root@server ~]# ipa host-del client.idm.example.com
```
Copy to Clipboard Toggle word wrap
重要
クライアントホストエントリーを、別の IP アドレスまたは別のホスト名を使用して今後再登録する場合に、IdM LDAP サーバーからクライアントホストエントリーを削除することが重要です。

18.2. IdM クライアントのアンインストール: 以前に複数回インストールを行った場合の追加手順
リンクのコピー

ホストを Identity Management (IdM) クライアントとして複数回、インストールしてアンインストールすると、アンインストール手順で IdM Kerberos 設定が復元されない可能性があります。

このような場合は、IdM Kerberos 設定を手動で削除する必要があります。極端なケースでは、オペレーティングシステムを再インストールする必要があります。

前提条件

ipa-client-install --uninstall コマンドを使用して、ホストから IdM クライアント設定をアンインストールしている。ただし、IdM サーバーから IdM ユーザーの Kerberos Ticket-granting Ticket (TGT) をまだ取得できます。
/var/lib/ipa-client/sysrestore ディレクトリーが空で、ディレクトリー内のファイルを使用してシステムの以前の IdM クライアント設定を復元できないことを確認している。

手順

/etc/krb5.conf.ipa ファイルを確認します。
- /etc/krb5.conf.ipa ファイルの内容が、IdM クライアントのインストール前の krb5.conf ファイルの内容と同じ場合は、以下の手順を実行します。
  1. /etc/krb5.conf ファイルを削除します。
    
    # rm /etc/krb5.conf
    
    Copy to Clipboard Toggle word wrap
  2. /etc/krb5.conf.ipa ファイルの名前を /etc/krb5.conf に変更します。
    
    # mv /etc/krb5.conf.ipa /etc/krb5.conf
    
    Copy to Clipboard Toggle word wrap
- /etc/krb5.conf.ipa ファイルの内容が、IdM クライアントのインストール前の krb5.conf ファイルの内容と同じでない場合には、オペレーティングシステムのインストール直後の状態には Kerberos 設定を復元できます。
1. krb5-libs パッケージを再インストールします。
  # dnf reinstall krb5-libs
  Copy to Clipboard Toggle word wrap
  このコマンドは、依存関係として krb5-workstation パッケージと、/etc/krb5.conf ファイルの元のバージョンを再インストールします。
var/log/ipaclient-install.log ファイルが存在する場合は削除します。

検証

IdM ユーザー認証情報の取得を試みます。取得には失敗するはずです。

kinit admin

[root@r8server ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@r8server ~]#

Copy to Clipboard

Toggle word wrap

/etc/krb5.conf ファイルは、出荷時状態に復元されています。したがって、ホスト上の IdM ユーザーの Kerberos TGT を取得できません。

第19章 IdM クライアントシステムの名前変更
リンクのコピー

Identity Management (IdM) クライアントシステムのホスト名を変更できます。

警告

クライアントの名前は手動で変更します。ホスト名の変更が絶対に必要である場合のみ実行してください。

Identity Management クライアントの名前を変更するには、以下を行う必要があります。

ホストを準備します。詳細は、名前を変更するための IdM クライアントの準備を参照してください。
ホストから IdM クライアントをアンインストールします。詳細は、Identity Management クライアントのアンインストールを参照してください。
ホストの名前を変更します。詳細は、ホストシステムの名前変更を参照してください。
新しい名前でホストに IdM クライアントをインストールします。詳細は、Identity Management のインストール の Identity Management クライアントのインストールを参照してください。
IdM クライアントのインストール後にホストを設定します。詳細は、サービスの再追加、証明書の再生成、およびホストグループの再追加を参照してください。

19.1. IdM クライアントの名前変更の準備
リンクのコピー

現在のクライアントをアンインストールする前に、クライアントの設定を書き留めます。新しいホスト名のマシンを再登録した後にこの設定を適用します

マシンで実行しているサービスを特定します。
- ipa service-find コマンドを使用して、証明書のあるサービスを出力で特定します。
  $ ipa service-find old-client-name.example.com
  Copy to Clipboard Toggle word wrap
- さらに、各ホストには、ipa service-find 出力には表示されないデフォルトの ホストサービス があります。ホストサービスのサービスプリンシパルは ホストプリンシパル とも呼ばれ、host/old-client-name.example.com になります。
ipa service-find old-client-name.example.com で表示されたすべてのサービスプリンシパルについて、old-client-name.example.com システム上の対応するキータブの場所を特定します。
```
find / -name "*.keytab"
```
```
# find / -name "*.keytab"
```
Copy to Clipboard Toggle word wrap
クライアントシステムの各サービスには、ldap/old-client-name.example.com@EXAMPLE.COM のように service_name/host_name@REALM の形式を取る Kerberos プリンシパルがあります。
マシンが所属するすべてのホストグループを特定します。
```
ipa hostgroup-find old-client-name.example.com
```
```
# ipa hostgroup-find old-client-name.example.com
```
Copy to Clipboard Toggle word wrap

19.2. IdM クライアントのアンインストール
リンクのコピー

クライアントをアンインストールすると、クライアントが Identity Management (IdM) ドメインから削除され、SSSD (System Security Services Daemon) などの特定のシステムサービスの IdM 設定もすべて削除されます。これにより、クライアントシステムの以前の設定が復元します。

手順

ipa-client-install --uninstall コマンドを入力します。
```
ipa-client-install --uninstall
```
```
[root@client ~]# ipa-client-install --uninstall
```
Copy to Clipboard Toggle word wrap
(オプション) IdM ユーザーの Kerberos Ticket-granting Ticket (TGT) を取得できないことを確認します。
```
kinit admin
```
```
[root@client ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@client ~]#
```
Copy to Clipboard Toggle word wrap
Kerberos TGT チケットが正常に返された場合には、IdM クライアントのアンインストール: 以前に複数回インストールを行った場合の追加手順にあるアンインストール手順を実行してください。
クライアントで、特定した各キータブ (/etc/krb5.keytab を除く) から古い Kerberos プリンシパルを削除します。
```
ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
```
```
[root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
```
Copy to Clipboard Toggle word wrap

IdM サーバーで、IdM からクライアントホストの DNS エントリーをすべて削除します。

ipa dnsrecord-del

[root@server ~]# ipa dnsrecord-del
Record name: old-client-name
Zone name: idm.example.com
No option to delete specific record provided.
Delete all? Yes/No (default No): true
------------------------
Deleted record "old-client-name"

Copy to Clipboard

Toggle word wrap

IdM サーバーで、IdM LDAP サーバーからクライアントホストエントリーを削除します。これにより、すべてのサービスが削除され、そのホストに発行されたすべての証明書が無効になります。
```
ipa host-del client.idm.example.com
```
```
[root@server ~]# ipa host-del client.idm.example.com
```
Copy to Clipboard Toggle word wrap
重要
クライアントホストエントリーを、別の IP アドレスまたは別のホスト名を使用して今後再登録する場合に、IdM LDAP サーバーからクライアントホストエントリーを削除することが重要です。

19.3. IdM クライアントのアンインストール: 以前に複数回インストールを行った場合の追加手順
リンクのコピー

ホストを Identity Management (IdM) クライアントとして複数回、インストールしてアンインストールすると、アンインストール手順で IdM Kerberos 設定が復元されない可能性があります。

このような場合は、IdM Kerberos 設定を手動で削除する必要があります。極端なケースでは、オペレーティングシステムを再インストールする必要があります。

前提条件

ipa-client-install --uninstall コマンドを使用して、ホストから IdM クライアント設定をアンインストールしている。ただし、IdM サーバーから IdM ユーザーの Kerberos Ticket-granting Ticket (TGT) をまだ取得できます。
/var/lib/ipa-client/sysrestore ディレクトリーが空で、ディレクトリー内のファイルを使用してシステムの以前の IdM クライアント設定を復元できないことを確認している。

手順

/etc/krb5.conf.ipa ファイルを確認します。
- /etc/krb5.conf.ipa ファイルの内容が、IdM クライアントのインストール前の krb5.conf ファイルの内容と同じ場合は、以下の手順を実行します。
  1. /etc/krb5.conf ファイルを削除します。
    
    # rm /etc/krb5.conf
    
    Copy to Clipboard Toggle word wrap
  2. /etc/krb5.conf.ipa ファイルの名前を /etc/krb5.conf に変更します。
    
    # mv /etc/krb5.conf.ipa /etc/krb5.conf
    
    Copy to Clipboard Toggle word wrap
- /etc/krb5.conf.ipa ファイルの内容が、IdM クライアントのインストール前の krb5.conf ファイルの内容と同じでない場合には、オペレーティングシステムのインストール直後の状態には Kerberos 設定を復元できます。
1. krb5-libs パッケージを再インストールします。
  # dnf reinstall krb5-libs
  Copy to Clipboard Toggle word wrap
  このコマンドは、依存関係として krb5-workstation パッケージと、/etc/krb5.conf ファイルの元のバージョンを再インストールします。
var/log/ipaclient-install.log ファイルが存在する場合は削除します。

検証

IdM ユーザー認証情報の取得を試みます。取得には失敗するはずです。

kinit admin

[root@r8server ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@r8server ~]#

Copy to Clipboard

Toggle word wrap

/etc/krb5.conf ファイルは、出荷時状態に復元されています。したがって、ホスト上の IdM ユーザーの Kerberos TGT を取得できません。

19.4. ホストシステムの名前変更
リンクのコピー

必要に応じてマシンの名前を変更します。以下に例を示します。

hostnamectl set-hostname new-client-name.example.com

# hostnamectl set-hostname new-client-name.example.com

Copy to Clipboard

Toggle word wrap

これで、新しいホスト名で、Identity Management (IdM) クライアントを IdM ドメインに再インストールできるようになります。

19.5. IdM クライアントの再インストール
リンクのコピー

クライアントのインストールの手順に従って、名前を変更したホストにクライアントをインストールします。

19.6. サービスの再追加、証明書の再生成、およびホストグループの再追加
リンクのコピー

手順

Identity Management (IdM) サーバーで、名前を変更するための IdM クライアントの準備に定義された各サービスに新しいキータブを追加します。
```
ipa service-add service_name/new-client-name
```
```
[root@server ~]# ipa service-add service_name/new-client-name
```
Copy to Clipboard Toggle word wrap
名前を変更するための IdM クライアントの準備で割り当てた証明書のあるサービスに対して証明書を生成します。これは以下の方法で実行できます。
- IdM 管理ツールの使用。ユーザー、ホスト、およびサービスの証明書の管理を参照してください。
- certmonger ユーティリティーの使用
名前を変更するための IdM クライアントの準備で特定されたホストグループにクライアントを再追加します。

第20章 IdM レプリカをインストールするためのシステムの準備
リンクのコピー

ここでは、Identity Management (IdM) レプリカのインストール要件を取り上げます。インストールする前に、システムが以下の要件を満たしていることを確認してください。

ターゲットシステムが、IdM サーバーのインストールに関する一般的な要件を満たしていることを確認してください。
ターゲットシステムが、IdM レプリカのインストールに関する追加のバージョン要件を満たしていることを確認してください。
オプション: FIPS モードが有効な RHEL 9 Identity Management (IdM) レプリカを FIPS モードの RHEL 8 IdM デプロイメントに追加する場合は、そのレプリカで正しい暗号化タイプが有効になっていることを確認してください。
ターゲットシステムを IdM ドメインに登録する権限を付与します。詳細は、ニーズに最適な次のセクションのいずれかを参照してください。
- IdM クライアントでのレプリカのインストールの認可
- IdM に登録されていないシステムでのレプリカのインストールの認可

関連情報

レプリカトポロジーの計画

20.1. レプリカバージョンの要件
リンクのコピー

IdM レプリカは、他のサーバーと同じまたはそれ以降のバージョンの IdM を実行している必要があります。以下に例を示します。

Red Hat Enterprise Linux 9 に IdM サーバーをインストールし、IdM 4.x パッケージを使用している。
このとき、レプリカが Red Hat Enterprise Linux 9 にインストールされ、バージョン 4.x 以降の IdM を使用する必要もあります。

これにより、設定が適切にサーバーからレプリカにコピーされます。

IdM ソフトウェアバージョンの表示方法は、IdM ソフトウェアのバージョンを表示する方法を参照してください。

20.2. IdM ソフトウェアのバージョンを表示する方法
リンクのコピー

IdM バージョン番号は次の方法で表示できます。

IdM WebUI
ipa コマンド
rpm コマンド

WebUI を介したバージョンの表示

IdM WebUI では、右上のユーザー名メニューから About を選択して、ソフトウェアバージョンを表示できます。

ipa コマンドによるバージョンの表示

コマンドラインから、ipa --version コマンドを使用します。

ipa --version

[root@server ~]# ipa --version
VERSION: 4.8.0, API_VERSION: 2.233

Copy to Clipboard

Toggle word wrap

rpm コマンドによるバージョンの表示

IdM サービスが適切に動作していない場合は、rpm ユーティリティーを使用して、現在インストールされている ipa-server パッケージのバージョン番号を確認できます。

rpm -q ipa-server

[root@server ~]# rpm -q ipa-server
ipa-server-4.8.0-11.module+el8.1.0+4247+9f3fd721.x86_64

Copy to Clipboard

Toggle word wrap

20.3. RHEL 8 IdM 環境に参加する RHEL 9 レプリカの FIPS コンプライアンスの確保
リンクのコピー

RHEL Identity Management (IdM) が最初に RHEL 8.6 以前のシステムにインストールされていた場合、それが使用する AES HMAC-SHA1 暗号化タイプは、FIPS モードの RHEL 9 ではデフォルトでサポートされていません。FIPS モードの RHEL 9 レプリカをデプロイメントに追加するには、RHEL 9 で該当する暗号鍵を有効にする必要があります。詳細は、KCS ソリューション AD Domain Users unable to login in to the FIPS-compliant environment を参照してください。

20.4. IdM クライアントでのレプリカのインストールの認可
リンクのコピー

ipa-replica-install ユーティリティーを実行して既存の Identity Management (IdM) クライアントをレプリカのインストールする場合は、以下の 方法 1 または 方法 2 を選択して、レプリカのインストールを認証します。以下のいずれかが当てはまる場合は、方法 1 を選択します。

上級システム管理者に手順の初期部分を実行させ、下級システム管理者にその他の作業を実行させたい場合。
レプリカのインストールを自動化する。

注記

RHEL 9.5 以降では、IdM レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックが、ユーザー ID オーバーライドのチェックにも拡張されます。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになります。

方法 1 - ipaservers ホストグループ

IdM 管理者として IdM ホストにログインします。
```
kinit admin
```
```
$ kinit admin
```
Copy to Clipboard Toggle word wrap

クライアントマシンを ipaservers ホストグループに追加します。

ipa hostgroup-add-member ipaservers --hosts client.idm.example.com

$ ipa hostgroup-add-member ipaservers --hosts client.idm.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.idm.example.com, client.idm.example.com
-------------------------
Number of members added 1
-------------------------

Copy to Clipboard

Toggle word wrap

注記

ipaservers グループのメンバーシップは、管理者の認証情報と同様に、マシンに昇格した特権を付与します。したがって、次の手順では、ipa-replica-install ユーティリティーを、経験豊富ではないシステム管理者が、ホストで正常に実行できます。

方法 2 - 特権ユーザーの認証情報

特権ユーザーの認証情報を提供することで、レプリカのインストールを認可するには、以下のいずれかの方法を選択します。

ipa-replica-install ユーティリティーを起動したら、Identity Management (IdM) から認証情報の入力を求められます。これがデフォルトの動作です。
ipa-replica-install ユーティリティーを実行する直前に、特権ユーザーとしてクライアントにログインします。デフォルトの特権ユーザーは admin です。
```
kinit admin
```
```
$ kinit admin
```
Copy to Clipboard Toggle word wrap

20.5. IdM に登録されていないシステムでのレプリカのインストールの認可
リンクのコピー

Identity Management (IdM) ドメインに登録されていないシステムでレプリカのインストールを行う場合、ipa-replica-install ユーティリティーはまずシステムをクライアントとして登録してから、レプリカコンポーネントをインストールします。このシナリオでは、以下の 方法 1 または 方法 2 を選択して、レプリカのインストールを認証します。以下のいずれかが当てはまる場合は、方法 1 を選択します。

上級システム管理者に手順の初期部分を実行させ、下級システム管理者にその他の作業を実行させたい場合。
レプリカのインストールを自動化する。

注記

RHEL 9.5 以降では、IdM レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックが、ユーザー ID オーバーライドのチェックにも拡張されます。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになります。

方法 1 - IdM サーバーで生成されたランダムなパスワード

ドメイン内の任意のサーバーで、次のコマンドを入力します。

管理者としてログインします。
```
kinit admin
```
```
$ kinit admin
```
Copy to Clipboard Toggle word wrap
外部システムを IdM ホストとして追加します。ipa host-add コマンドに --random オプションを使用して、後続のレプリカのインストールに使用される無作為なワンタイムパスワードを生成します。
```
ipa host-add replica.example.com --random
```
```
$ ipa host-add replica.example.com --random
--------------------------------------------------
Added host "replica.example.com"
--------------------------------------------------
  Host name: replica.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
```
Copy to Clipboard Toggle word wrap
生成されたパスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録の完了後、このパスワードは適切なホストキータブに置き換えられます。

システムを ipaservers ホストグループに追加します。

ipa hostgroup-add-member ipaservers --hosts replica.example.com

$ ipa hostgroup-add-member ipaservers --hosts replica.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.example.com, replica.example.com
-------------------------
Number of members added 1
-------------------------

Copy to Clipboard

Toggle word wrap

注記

ipaservers グループのメンバーシップは、管理者の認証情報と同様に、マシンに昇格した特権を付与します。したがって、次の手順では、生成されたランダムパスワードを提供する経験豊富ではないシステム管理者により、ホストで ipa-replica-install ユーティリティーを正常に実行できます。

方法 2 - 特権ユーザーの認証情報

この方法を使用し、特権ユーザーの認証情報を提供してレプリカのインストールを承認してください。デフォルトの特権ユーザーは admin です。

IdM レプリカインストールユーティリティーを実行する前に、アクションは必要ありません。インストール時に、ipa-replica-install コマンドにプリンシパル名およびパスワードのオプション (--principal admin --admin-password パスワード) を直接追加します。

第21章 IdM レプリカのインストール
リンクのコピー

次のセクションでは、コマンドライン (CLI) を使用して、Identity Management (IdM) レプリカを対話的にインストールする方法を説明します。レプリカのインストールプロセスでは、既存のサーバーの設定をコピーし、その設定を基にしてレプリカをインストールします。

注記

Ansible Playbook を使用した Identity Management サーバーのインストールを参照してください。Ansible ロールを使用して、複数のレプリカを一貫してインストールおよびカスタマイズします。

Ansible を使用しない対話型および非対話型のメソッドは、レプリカの準備がユーザーまたはサードパーティーに委任される場合などのトポロジーで役に立ちます。これらの方法は、Ansible コントローラーノードからアクセスできない地理的に分散されたトポロジーでも使用できます。

前提条件

一度に 1 つの IdM レプリカをインストールしようとしている。複数のレプリカを同時にインストールすることはサポートされていません。
システムで IdM レプリカのインストールの準備が完了していることを確認します。
重要
この準備を行わないと、IdM レプリカのインストールに失敗します。

21.1. 統合 DNS および CA を使用した IdM レプリカのインストール
リンクのコピー

以下の手順に従って、Identity Management (IdM) レプリカをインストールします。

統合 DNS を使用する
認証局 (CA) あり

これは、たとえば、統合 CA で IdM サーバーをインストールした後に、耐障害性のために CA サービスを複製します。

重要

CA のあるレプリカを設定する場合は、レプリカの CA 設定がサーバーの CA 設定を反映する必要があります。

たとえば、サーバーに統合された IdM CA がルート CA として含まれている場合は、新しいレプリカも統合 CA をルート CA としてインストールする必要があります。この場合、他の CA 設定は使用できません。

ipa-replica-install コマンドに --setup-ca オプションを含めると、初期サーバーの CA 設定がコピーされます。

前提条件

システムで IdM レプリカのインストールの準備が完了していることを確認します。

手順

以下のオプションを使用して、ipa-replica-install を実行します。
- レプリカを DNS サーバーとして設定する --setup-dns
- --forwarder - サーバーごとのフォワーダーを指定します。サーバーごとのフォワーダーを使用しない場合は --no-forwarder を指定します。フェイルオーバーのためにサーバーごとのフォワーダーを複数指定するには、--forwarder を複数回使用します。
  注記
  ipa-replica-install ユーティリティーは、--no-reverse や --no-host-dns などの DNS 設定に関する複数のオプションを受け入れます。詳細は、ipa-replica-install(1) の man ページを参照してください。
- レプリカに CA を含める --setup-ca
たとえば、IdM サーバーが管理していないすべての DNS 要求を、IP アドレス 192.0.2.1 で実行している DNS サーバーに転送する統合 DNS サーバーおよび CA にレプリカをセットアップするには、次のコマンドを実行します。
```
ipa-replica-install --setup-dns --forwarder 192.0.2.1 --setup-ca
```
```
# ipa-replica-install --setup-dns --forwarder 192.0.2.1 --setup-ca
```
Copy to Clipboard Toggle word wrap
インストールスクリプトが完了したら、親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
重要
IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

次のステップ

大規模なデプロイメントでは、パフォーマンスを向上させるために、IdM レプリカの特定のパラメーターを調整する必要がある場合があります。環境に最適なチューニング手順を見つけるには、Identity Management でのパフォーマンスの調整を参照してください。

21.2. 統合 DNS を使用し CA を省略した IdM レプリカのインストール
リンクのコピー

以下の手順に従って、Identity Management (IdM) レプリカをインストールします。

統合 DNS を使用する
認証局 (CA) がすでにインストールされている IdM 環境に CA がない場合。レプリカは、すべての証明書操作を、CA がインストールされている IdM サーバーに転送します。

前提条件

システムで IdM レプリカのインストールの準備が完了していることを確認します。

手順

以下のオプションを使用して、ipa-replica-install を実行します。
- レプリカを DNS サーバーとして設定する --setup-dns
- --forwarder - サーバーごとのフォワーダーを指定します。サーバーごとのフォワーダーを使用しない場合は --no-forwarder を指定します。フェイルオーバーのためにサーバーごとのフォワーダーを複数指定するには、--forwarder を複数回使用します。
たとえば、IdM サーバーが管理していないすべての DNS 要求を、IP アドレス 192.0.2.1 で実行している DNS サーバーに転送する統合 DNS サーバーにレプリカをセットアップするには、次のコマンドを実行します。
```
ipa-replica-install --setup-dns --forwarder 192.0.2.1
```
```
# ipa-replica-install --setup-dns --forwarder 192.0.2.1
```
Copy to Clipboard Toggle word wrap
注記
ipa-replica-install ユーティリティーは、--no-reverse や --no-host-dns などの DNS 設定に関する複数のオプションを受け入れます。詳細は、ipa-replica-install(1) の man ページを参照してください。
インストールスクリプトが完了したら、親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
重要
IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

次のステップ

大規模なデプロイメントでは、パフォーマンスを向上させるために、IdM レプリカの特定のパラメーターを調整する必要がある場合があります。環境に最適なチューニング手順を見つけるには、Identity Management でのパフォーマンスの調整を参照してください。

21.3. 統合 DNS を省略し CA を使用した IdM レプリカのインストール
リンクのコピー

以下の手順に従って、Identity Management (IdM) レプリカをインストールします。

統合 DNS を使用しない
認証局 (CA) あり

重要

CA のあるレプリカを設定する場合は、レプリカの CA 設定がサーバーの CA 設定を反映する必要があります。

たとえば、サーバーに統合された IdM CA がルート CA として含まれている場合は、新しいレプリカも統合 CA をルート CA としてインストールする必要があります。この場合、他の CA 設定は使用できません。

ipa-replica-install コマンドに --setup-ca オプションを含めると、初期サーバーの CA 設定がコピーされます。

前提条件

システムで IdM レプリカのインストールの準備が完了していることを確認します。

手順

--setup-ca オプションを指定して ipa-replica-install を実行します。
```
ipa-replica-install --setup-ca
```
```
# ipa-replica-install --setup-ca
```
Copy to Clipboard Toggle word wrap
新規作成された IdM DNS サービスレコードを DNS サーバーに追加します。
1. IdM DNS サービスレコードを nsupdate 形式のファイルにエクスポートします。
  $ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate
  Copy to Clipboard Toggle word wrap
2. nsupdate ユーティリティーおよび dns_records_file.nsupdate ファイルを使用して DNS サーバーに DNS 更新リクエストを送信します。詳細は、RHEL 7 ドキュメントの nsupdate を使用した外部 DNS レコード更新を参照してください。または、DNS レコードの追加については、お使いの DNS サーバーのドキュメントを参照してください。

次のステップ

大規模なデプロイメントでは、パフォーマンスを向上させるために、IdM レプリカの特定のパラメーターを調整する必要がある場合があります。環境に最適なチューニング手順を見つけるには、Identity Management でのパフォーマンスの調整を参照してください。

21.4. 統合 DNS および CA を使用しない IdM レプリカのインストール
リンクのコピー

以下の手順に従って、Identity Management (IdM) レプリカをインストールします。

統合 DNS を使用しない
必要な証明書を手動で用意し、認証局 (CA) なし。最初のサーバーが CA なしでインストールされていることを前提とします。

重要

インポートした証明書ファイルには、LDAP サーバーおよび Apache サーバーの証明書を発行した CA の完全な証明書チェーンが含まれている必要があるため、自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。

前提条件

システムで IdM レプリカのインストールの準備が完了していることを確認します。

手順

ipa-replica-install を実行して、次のオプションを追加して必要な証明書ファイルを指定します。
- --dirsrv-cert-file
- --dirsrv-pin
- --http-cert-file
- --http-pin
このようなオプションを使用して提供されるファイルに関する詳細は、「CA なしで IdM サーバーをインストールするために必要な証明書」を参照してください。
以下に例を示します。
```
ipa-replica-install \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret
```
```
# ipa-replica-install \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret
```
Copy to Clipboard Toggle word wrap
注記
--ca-cert-file オプションを追加しないでください。この証明書情報は、最初にインストールしたサーバーから ipa-replica-install ユーティリティーによって自動的に取得されます。

次のステップ

大規模なデプロイメントでは、パフォーマンスを向上させるために、IdM レプリカの特定のパラメーターを調整する必要がある場合があります。環境に最適なチューニング手順を見つけるには、Identity Management でのパフォーマンスの調整を参照してください。

21.5. IdM 非表示レプリカのインストール
リンクのコピー

非表示の (予期しない) レプリカは、実行中で利用可能なサービスをすべて備えた Identity Management (IdM) サーバーです。ただし、DNS に SRV レコードがなく、LDAP サーバーロールが有効になっていません。そのため、クライアントはサービス検出を使用して非表示のレプリカを検出することができません。

非表示のレプリカの詳細は、The hidden replica mode を参照してください。

前提条件

システムで IdM レプリカのインストールの準備が完了していることを確認します。

手順

非表示のレプリカをインストールするには、次のコマンドを実行します。
```
ipa-replica-install --hidden-replica
```
```
ipa-replica-install --hidden-replica
```
Copy to Clipboard Toggle word wrap

このコマンドは、DNS SRV レコードがなく、LDAP サーバーのロールが無効になっているレプリカをインストールすることに注意してください。

また、既存のレプリカモードを非表示にすることもできます。詳細は非表示のレプリカのデモートおよびプロモートを参照してください。

21.6. IdM レプリカのテスト
リンクのコピー

レプリカの作成後、レプリカが想定どおりにデータを複製するかどうかを確認します。以下の手順を使用できます。

手順

新しいレプリカでユーザーを作成します。
```
ipa user-add test_user
```
```
[admin@new_replica ~]$ ipa user-add test_user
```
Copy to Clipboard Toggle word wrap
ユーザーが他のレプリカでも表示されるようにします。
```
ipa user-show test_user
```
```
[admin@another_replica ~]$ ipa user-show test_user
```
Copy to Clipboard Toggle word wrap

21.7. IdM レプリカのインストール時に実行される接続
リンクのコピー

IdM レプリカのインストール時に実行する要求には、Identity Management (IdM) のレプリカインストールツールである ipa-replica-install により実行される操作のリストが記載されています。

Expand

表21.1 IdM レプリカのインストール時に実行される要求
操作	使用プロトコル	目的
クライアントシステムに設定した DNS リゾルバーに対する DNS 解決	DNS	IdM サーバーの IP アドレス検出。
検出された IdM サーバーのポート 88 (TCP/TCP6 および UDP/UDP6) への要求	Kerberos	Kerberos チケットの取得。
検出または設定された IdM サーバー上の IdM Apache ベースの Web サービスへの JSON-RPC 呼び出し	HTTPS	IdM クライアントの登録。必要な場合はレプリカキーの取得および証明書の発行。
SASL GSSAPI 認証、プレーン LDAP、またはこれら両方を使用した、IdM サーバー上のポート 389 (TCP/TCP6) への要求	LDAP	IdM クライアントの登録。CA 証明書チェーンの取得。LDAP データの複製。
IdM サーバー上のポート 22 (TCP/TCP6) への要求	SSH	接続が機能していることを確認。
(任意) IdM サーバーのポート 8443 (TCP/TCP6) でのアクセス	HTTPS	IdM サーバー上での認証局の管理 (IdM サーバーおよびレプリカのインストール時のみ)

第22章 IdM レプリカのインストールに関するトラブルシューティング
リンクのコピー

以下のセクションでは、失敗した IdM レプリカのインストールに関する情報を収集するプロセスと、一般的なインストールの問題を解決する方法を説明します。

22.1. IdM レプリカのインストールエラーログファイル
リンクのコピー

Identity Management (IdM) レプリカをインストールすると、レプリカ の以下のログファイルにデバッグ情報が追加されます。

/var/log/ipareplica-install.log
/var/log/ipareplica-conncheck.log
/var/log/ipaclient-install.log
/var/log/httpd/error_log
/var/log/dirsrv/slapd-INSTANCE-NAME/access
/var/log/dirsrv/slapd-INSTANCE-NAME/errors
/var/log/ipaserver-install.log

レプリカのインストールプロセスでは、レプリカが接続している IdM サーバー の次のログファイルにデバッグ情報を追加します。

/var/log/httpd/error_log
/var/log/dirsrv/slapd-INSTANCE-NAME/access
/var/log/dirsrv/slapd-INSTANCE-NAME/errors

各ログファイルの最後の行では成功または失敗を報告し、ERROR および DEBUG エントリーで追加のコンテキストを把握できます。

22.2. IdM レプリカのインストールエラーの確認
リンクのコピー

IdM レプリカのインストールの失敗をトラブルシューティングするには、新しいレプリカとサーバーのインストールエラーログファイルの最後にあるエラーを確認し、この情報を使用して対応する問題を解決します。

前提条件

IdM ログファイルの内容を表示するには、root 権限が必要である。

手順

tail コマンドを使用して、プライマリーログファイル /var/log/ipareplica-install.log からの最新のエラーを表示します。以下の例は、最後の 10 行を表示しています。

sudo tail -n 10 /var/log/ipareplica-install.log

[user@replica ~]$ sudo tail -n 10 /var/log/ipareplica-install.log
[sudo] password for user:
  func(installer)
File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 424, in decorated
  func(installer)
File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 785, in promote_check
  ensure_enrolled(installer)
File "/usr/lib/python3.6/site-packages/ipaserver/install/server/replicainstall.py", line 740, in ensure_enrolled
  raise ScriptError("Configuration of client side components failed!")

2020-05-28T18:24:51Z DEBUG The ipa-replica-install command failed, exception: ScriptError: Configuration of client side components failed!
2020-05-28T18:24:51Z ERROR Configuration of client side components failed!
2020-05-28T18:24:51Z ERROR The ipa-replica-install command failed. See /var/log/ipareplica-install.log for more information

Copy to Clipboard

Toggle word wrap

ログファイルを対話的に確認するには、less ユーティリティーを使用してログファイルの末尾を開き、↑ および ↓ 矢印キーを使用して移動します。
```
sudo less -N +G /var/log/ipareplica-install.log
```
```
[user@replica ~]$ sudo less -N +G /var/log/ipareplica-install.log
```
Copy to Clipboard Toggle word wrap

オプション: /var/log/ipareplica-install.log は、レプリカのインストールの主なログファイルです。これに加えて、レプリカとサーバー上の追加ファイルを使用してこの確認プロセスを繰り返すことで、トラブルシューティング情報をさらに収集できます。

レプリカの場合:

sudo less -N +G /var/log/ipareplica-conncheck.log
sudo less -N +G /var/log/ipaclient-install.log
sudo less -N +G /var/log/httpd/error_log
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors
sudo less -N +G /var/log/ipaserver-install.log

[user@replica ~]$ sudo less -N +G /var/log/ipareplica-conncheck.log
[user@replica ~]$ sudo less -N +G /var/log/ipaclient-install.log
[user@replica ~]$ sudo less -N +G /var/log/httpd/error_log
[user@replica ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
[user@replica ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors
[user@replica ~]$ sudo less -N +G /var/log/ipaserver-install.log

Copy to Clipboard

Toggle word wrap

サーバー上では以下の設定になります。

sudo less -N +G /var/log/httpd/error_log
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

[user@server ~]$ sudo less -N +G /var/log/httpd/error_log
[user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/access
[user@server ~]$ sudo less -N +G /var/log/dirsrv/slapd-INSTANCE-NAME/errors

Copy to Clipboard

Toggle word wrap

関連情報

IdM レプリカのインストールエラーログファイル
Red Hat テクニカルサポートサブスクリプションがあり、レプリカのインストールが失敗する問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、レプリカの sosreport サーバーとレプリカの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

22.3. IdM レプリカの CA インストールエラーログファイル
リンクのコピー

Identity Management (IdM) レプリカに認証局 (CA) サービスをインストールすると、レプリカの複数の場所にデバッグ情報と、レプリカが通信する IdM サーバーが追加されます。

Expand

表22.1 レプリカの場合 (推奨される優先順位):
場所	説明
`/var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log`	問題の概要と、`pkispawn` インストールプロセスの Python トレース
`journalctl -u pki-tomcatd@pki-tomcat` の出力	`pki-tomcatd@pki-tomcat` サービスからのエラー
`/var/log/pki/pki-tomcat/ca/debug.$DATE.log`	公開鍵インフラストラクチャー (PKI) 製品のアクティビティーの大規模な JAVA スタックトレース
`/var/log/pki/pki-tomcat/ca/signedAudit/ca_audit`	PKI 製品の監査ログ
`/var/log/pki/pki-tomcat/ca/system` `/var/log/pki/pki-tomcat/ca/transactions` `/var/log/pki/pki-tomcat/catalina.$DATE.log`	証明書を使用するサービスプリンシパル、ホスト、およびその他のエンティティーの証明書操作の低レベルのデバッグデータ

レプリカが問い合わせするサーバー:

/var/log/httpd/error_log ログファイル

既存の IdM レプリカに CA サービスをインストールすると、以下のログファイルにデバッグ情報が書き込まれます。

/var/log/ipareplica-ca-install.log ログファイル

注記

オプションの CA コンポーネントのインストール中に IdM レプリカ全体のインストールに失敗した場合に、ログには CA の詳細が記録されません。全体的なインストールプロセスに失敗したことを示すメッセージが /var/log/ipareplica-install.log ファイルに記録されます。CA インストールの失敗に関する詳細は、上記のログファイルを確認してください。

CA サービスをインストールしてルート CA が外部 CA の場合は唯一例外で、この動作に該当しません。外部 CA の証明書に問題がある場合は、エラーは /var/log/ipareplica-install.log に記録されます。

22.4. IdM レプリカの CA インストールエラーの確認
リンクのコピー

IdM CA のインストール失敗のトラブルシューティングを行うには、IdM レプリカの CA インストールエラーログファイルの末尾にあるエラーを確認し、この情報を使用して該当する問題を解決します。

前提条件

IdM ログファイルの内容を表示するには、root 権限が必要である。

手順

ログファイルを対話的に確認するには、less ユーティリティーを使用してログファイルの末尾を開き、kbd:[] 矢印キーを使用して移動しながら、ScriptError エントリーを検索します。以下の例では、/var/log/pki/pki-ca-spawn.$TIME_OF_INSTALLATION.log を開きます。
```
sudo less -N +G /var/log/pki/pki-ca-spawn.20200527185902.log
```
```
[user@server ~]$ sudo less -N +G /var/log/pki/pki-ca-spawn.20200527185902.log
```
Copy to Clipboard Toggle word wrap
すべての CA インストールエラーログファイルでこのレビュープロセスを繰り返して、追加のトラブルシューティング情報を収集します。

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、IdM サーバーのインストール失敗の問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、サーバーの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

22.5. 部分的な IdM レプリカインストールの削除
リンクのコピー

IdM レプリカのインストールに失敗した場合は、設定ファイルの一部が残される可能性があります。IdM レプリカのインストールを試みる追加の試行に失敗し、インストールスクリプトで IPA がすでに設定されていると報告されます。

既存の部分的な IdM 設定を使用したシステムの例

ipa-replica-install

[root@server ~]# ipa-replica-install
Your system may be partly configured.
Run /usr/sbin/ipa-server-install --uninstall to clean up.

IPA server is already configured on this system.
If you want to reinstall the IPA server, please uninstall it first using 'ipa-server-install --uninstall'.
The ipa-replica-install command failed. See /var/log/ipareplica-install.log for more information

Copy to Clipboard

Toggle word wrap

この問題を解決するには、レプリカから IdM ソフトウェアをアンインストールし、IdM トポロジーからレプリカを削除し、インストールプロセスを再試行します。

前提条件

root 権限があること。

手順

IdM レプリカとして設定するホストで IdM サーバーソフトウェアをアンインストールします。
```
ipa-server-install --uninstall
```
```
[root@replica ~]# ipa-server-install --uninstall
```
Copy to Clipboard Toggle word wrap
トポロジー内の他のすべてのサーバーで ipa server-del コマンドを使用して、適切にインストールされていないレプリカへの参照を削除します。
```
ipa server-del replica.idm.example.com
```
```
[root@other-replica ~]# ipa server-del replica.idm.example.com
```
Copy to Clipboard Toggle word wrap
レプリカのインストールを試行します。
インストールに繰り返し失敗したことが原因で IdM レプリカのインストールに問題が生じた場合は、オペレーティングシステムを再インストールします。
カスタマイズなしの新規インストールシステムというのが、IdM レプリカのインストール要件の 1 つとなっています。インストールに失敗した場合は、予期せずにシステムファイルが変更されてホストの整合性が保てない可能性があります。

関連情報

IdM レプリカのアンインストールの詳細は IdM レプリカのアンインストールを参照してください。
Red Hat テクニカルサポートサブスクリプションをお持ちで、アンインストールを何度か試みた後にインストールに失敗した場合には、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、レプリカの sosreport およびサーバーの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

22.6. 無効な認証情報エラーの解決
リンクのコピー

IdM レプリカのインストールが Invalid credentials エラーで失敗した場合、ホスト上のシステムクロックが互いに同期していない可能性があります。

[27/40]: setting up initial replication
Starting replication, please wait until this has completed.
Update in progress, 15 seconds elapsed
[ldap://server.example.com:389] reports: Update failed! Status: [49 - LDAP error: Invalid credentials]

[error] RuntimeError: Failed to start replication
Your system may be partly configured.
Run /usr/sbin/ipa-server-install --uninstall to clean up.

ipa.ipapython.install.cli.install_tool(CompatServerReplicaInstall): ERROR    Failed to start replication
ipa.ipapython.install.cli.install_tool(CompatServerReplicaInstall): ERROR    The ipa-replica-install command failed. See /var/log/ipareplica-install.log for more information

[27/40]: setting up initial replication
Starting replication, please wait until this has completed.
Update in progress, 15 seconds elapsed
[ldap://server.example.com:389] reports: Update failed! Status: [49 - LDAP error: Invalid credentials]

[error] RuntimeError: Failed to start replication
Your system may be partly configured.
Run /usr/sbin/ipa-server-install --uninstall to clean up.

ipa.ipapython.install.cli.install_tool(CompatServerReplicaInstall): ERROR    Failed to start replication
ipa.ipapython.install.cli.install_tool(CompatServerReplicaInstall): ERROR    The ipa-replica-install command failed. See /var/log/ipareplica-install.log for more information

Copy to Clipboard

Toggle word wrap

クロックと同期されていないタイミングで、--no-ntp または -N オプションを使用して、レプリカのインストールを試みると、サービスは Kerberos で認証できないため、インストールに失敗します。

この問題を解決するには、両方のホストのクロックを同期し、インストールプロセスを再試行します。

前提条件

システム時間を変更するには、root 権限が必要です。

手順

システムクロックは、手動または chronyd により同期します。
手動同期
サーバー上のシステム時間を表示し、この時間と一致するようにレプリカの時間設定します。
[user@server ~]$ date Thu May 28 21:03:57 EDT 2020 [user@replica ~]$ sudo timedatectl set-time '2020-05-28 21:04:00'

Copy to Clipboard Toggle word wrap
chronyd と同期します。
chrony ツールでシステム時間を設定および設定するには、Chrony スイートを使用した NTP の設定を参照してください。
IdM レプリカのインストールを再試行します。

関連情報

Red Hat テクニカルサポートサブスクリプションがあり、レプリカのインストールが失敗する問題を解決できない場合は、Red Hat カスタマーポータルでテクニカルサポートケースを作成し、レプリカの sosreport サーバーとレプリカの sosreport を提供します。
sosreport ユーティリティーは、設定の詳細、ログ、およびシステム情報を RHEL システムから収集します。sosreport ユーティリティーの詳細は、Red Hat ナレッジベースソリューション What is an sosreport and how to create one in Red Hat Enterprise Linux? を参照してください。

第23章 IdM レプリカのアンインストール
リンクのコピー

IdM 管理者は、トポロジーから Identity Management (IdM) レプリカを削除できます。詳細は IdM サーバーのアンインストールを参照してください。

第24章レプリケーショントポロジーの管理
リンクのコピー

Identity Management (IdM) ドメイン内のサーバー間のレプリケーションを管理できます。レプリカを作成すると、Identity Management (IdM) が初期サーバーとレプリカ間にレプリカ合意を作成します。複製されるデータはトポロジーの接尾辞に保存され、2 つのレプリカの接尾辞間でレプリカ合意があると、接尾辞がトポロジーセグメントを形成します。

24.1. IdM レプリカ間のレプリカ合意
リンクのコピー

管理者が、既存のサーバーに基づいてレプリカを作成すると、Identity Management (IdM) は、初期サーバーとレプリカとの間に レプリカ合意 を作成します。レプリカ合意は、データと設定が 2 台のサーバー間で継続的に複製されることを保証します。

IdM は、複数の読み取り/書き込みレプリカ複製 を使用します。この設定では、レプリカ合意に参加しているすべてのレプリカが更新の受信と提供を行うので、サプライヤーとコンシューマーとみなされます。レプリカ合意は常に双方向です。

図24.1 サーバーとレプリカ合意

サーバー 2 台の間に 2 つのレプリカ合意があるイメージ: Directory Server データベースに関連するデータのレプリカ合意と、Certificate System データに関連する証明書レプリカ合意

IdM は、2 種類のレプリカ合意を使用します。

ドメインレプリカ合意 は、アイデンティティー情報をレプリケートします。
証明書レプリカ合意 は、証明書情報をレプリケートします。

両方の複製チャンネルは独立しています。2 台のサーバー間で、いずれかまたは両方の種類のレプリカ合意を設定できます。たとえば、サーバー A とサーバー B にドメインレプリカ合意のみが設定されている場合は、証明書情報ではなく ID 情報だけが複製されます。

24.2. トポロジー接尾辞
リンクのコピー

トポロジー接尾辞 は、レプリケートされるデータを保存します。IdM は、domain と ca の 2 種類のトポロジー接尾辞に対応します。それぞれの接尾辞は、個別のサーバーである個別のレプリケーショントポロジーを表します。

レプリカ合意が設定されると、同じタイプのトポロジー接尾辞を 2 つの異なるサーバーに結合します。

domain 接尾辞: dc=example,dc=com

domain 接尾辞には、ドメイン関連のデータがすべて含まれています。

2 つのレプリカの domain 接尾辞間でレプリカ合意が設定されると、ユーザー、グループ、およびポリシーなどのディレクトリーデータが共有されます。

ca 接尾辞: o=ipaca

ca 接尾辞には、Certificate System コンポーネントのデータが含まれます。これは認証局 (CA) がインストールされているサーバーにのみ存在します。

2 つのレプリカの ca 接尾辞間でレプリカ合意が設定されると、証明書データが共有されます。

図24.2 トポロジー接尾辞

新規レプリカのインストール時には、ipa-replica-install スクリプトが 2 つのサーバー間に初期トポロジーレプリカ合意をセットアップします。

24.3. トポロジーセグメント
リンクのコピー

2 つのレプリカの接尾辞間でレプリカ合意があると、接尾辞は トポロジーセグメント を形成します。各トポロジーセグメントは、左ノード と 右ノード で構成されます。ノードは、レプリカ合意に参加しているサーバーを表します。

IdM のトポロジーセグメントは常に双方向です。各セグメントは、サーバー A からサーバー B、およびサーバー B からサーバー A への 2 つのレプリカ合意を表します。そのため、データは両方の方向でレプリケートされます。

図24.3 トポロジーセグメント

24.4. WebUI を使用したレプリケーショントポロジーの視覚的表現の表示および変更
リンクのコピー

Web UI を使用すると、レプリケーショントポロジーの表現を表示、操作、変換できます。Web UI のトポロジーグラフは、ドメイン内のサーバー間の関係を表示します。マウスのボタンを押したままドラッグすることで、個々のトポロジーノードを移動できます。

トポロジーグラフの解釈

ドメインのレプリカ合意に参加しているサーバーは、オレンジ色の矢印によって接続されます。CA のレプリカ合意に参加しているサーバーは、青色の矢印によって接続されます。

トポロジーグラフの例: 推奨されるトポロジー

以下の推奨トポロジーの例は、4 台のサーバーに対して考えられる推奨トポロジーの 1 つを示しています。各サーバーは少なくとも 2 つの他のサーバーに接続されており、複数のサーバーが CA サーバーです。

図24.4 推奨されるトポロジーの例

トポロジーグラフの例: 推奨されないトポロジー

推奨されないトポロジーの例では、server1 が単一障害点になります。その他のすべてのサーバーは、このサーバーとのレプリカ合意がありますが、他のサーバーとは合意がありません。したがって、server1 が失敗すると、他のすべてのサーバーは分離されます。

このようなトポロジーの作成は避けてください。

図24.5 推奨されないトポロジーの例: 単一障害点

前提条件

IdM 管理者としてログインしている。

手順

IPA Server → Topology → Topology Graph を選択します。
トポロジーを変更します。
- マウスの左ボタンを使用してトポロジーグラフのノードを移動できます。
  
  View larger image
- マウスのホイールを使用して、トポロジーグラフを拡大および縮小できます。
  
  View larger image
- マウスの左ボタンを保持することで、トポロジーグラフのキャンバスを移動できます。
  
  View larger image
トポロジーに加えた変更がグラフに反映されていない場合は、Refresh をクリックします。

24.5. CLI を使用したトポロジー接尾辞の表示
リンクのコピー

レプリカ合意では、トポロジー接尾辞にレプリケートされたデータが保存されます。トポロジー接尾辞は CLI を使用して表示できます。

手順

ipa topologysuffix-find コマンドを入力して、トポロジー接尾辞のリストを表示します。

ipa topologysuffix-find

$ ipa topologysuffix-find
---------------------------
2 topology suffixes matched
---------------------------
  Suffix name: ca
  Managed LDAP suffix DN: o=ipaca

  Suffix name: domain
  Managed LDAP suffix DN: dc=example,dc=com
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

Toggle word wrap

24.6. CLI を使用したトポロジーセグメントの表示
リンクのコピー

レプリカ合意では、2 つのレプリカの接尾辞間にレプリカ合意がある場合、接尾辞がトポロジーセグメントを形成します。トポロジーセグメントは CLI を使用して表示できます。

手順

ipa topologysegment-find コマンドを入力して、ドメインまたは CA 接尾辞に設定されている現在のトポロジーセグメントを表示します。たとえば、ドメイン接尾辞の場合は、以下のようになります。
```
ipa topologysegment-find
```
```
$ ipa topologysegment-find
Suffix name: domain
-----------------
1 segment matched
-----------------
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------
```
Copy to Clipboard Toggle word wrap
この例では、ドメイン関連のデータのみが server1.example.com と server2.example.com の 2 つのサーバー間で複製されます。

オプション: 特定のセグメントの詳細のみを表示するには、ipa topologysegment-show コマンドを入力します。

ipa topologysegment-show

$ ipa topologysegment-show
Suffix name: domain
Segment name: server1.example.com-to-server2.example.com
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

Copy to Clipboard

Toggle word wrap

24.7. Web UI を使用した 2 台のサーバー間のレプリケーションの設定
リンクのコピー

Identity Management (IdM) Web UI を使用すると、2 つのサーバーを選択し、それらのサーバー間に新しいレプリカ合意を作成できます。

前提条件

IdM 管理者としてログインしている。

手順

トポロジーグラフで、サーバーノードの 1 つにマウスを合わせます。
図24.6 ドメインまたは CA オプション

View larger image
作成するトポロジーセグメントのタイプに応じて、domain または円の ca 部分をクリックします。
新しいレプリカ合意を表す新しい矢印が、マウスポインターの下に表示されます。マウスを他のサーバーノードに移動し、そこでクリックします。
図24.7 新規セグメントの作成

View larger image
Add topology segment ウィンドウで、Add をクリックして、新しいセグメントのプロパティーを確認します。

2 台のサーバー間の新しいトポロジーセグメントは、サーバーをレプリカ合意に参加させます。トポロジーグラフには、更新されたレプリケーショントポロジーが表示されるようになりました。

図24.8 新規に作成されたセグメント

24.8. Web UI を使用した 2 台のサーバー間のレプリケーションの停止
リンクのコピー

Identity Management (IdM) Web UI を使用すると、サーバーからレプリカ合意を削除できます。

前提条件

IdM 管理者としてログインしている。

手順

削除するレプリカ合意を表す矢印をクリックします。これにより、矢印がハイライト表示されます。
図24.9 トポロジーセグメントのハイライト表示

View larger image
Delete をクリックします。
Confirmation ウィンドウで OK をクリックします。
IdM は、2 台のサーバー間のトポロジーセグメントを削除します。これにより、そのレプリカ合意が削除されます。トポロジーグラフには、更新されたレプリケーショントポロジーが表示されるようになりました。
図24.10 トポロジーセグメントの削除

View larger image

24.9. CLI を使用した 2 つのサーバー間のレプリケーションの設定
リンクのコピー

ipa topologysegment-add コマンドを使用して、2 台のサーバー間のレプリカ合意を設定できます。

前提条件

IdM 管理者認証情報がある。

手順

2 つのサーバーのトポロジーセグメントを作成します。プロンプトが表示されたら、以下を指定します。
- 必要なトポロジー接尾辞: domain または ca
- 2 つのサーバーを表す、左ノードと右のノード
- オプション: セグメントのカスタム名
  以下に例を示します。
  $ ipa topologysegment-add Suffix name: domain Left node: server1.example.com Right node: server2.example.com Segment name [server1.example.com-to-server2.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: server1.example.com Right node: server2.example.com Connectivity: both
  Copy to Clipboard Toggle word wrap
  新しいセグメントを追加すると、サーバーをレプリカ合意に参加させます。

検証

新しいセグメントが設定されていることを確認します。

ipa topologysegment-show

$ ipa topologysegment-show
Suffix name: domain
Segment name: new_segment
  Segment name: new_segment
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

Copy to Clipboard

Toggle word wrap

24.10. CLI を使用した 2 つのサーバー間のレプリケーションの停止
リンクのコピー

ipa topology_segment-del コマンドを使用して、コマンドラインからレプリカ合意を終了できます。

前提条件

IdM 管理者認証情報がある。

手順

オプション: 削除する特定のレプリケーションセグメントの名前がわからない場合は、使用可能なすべてのセグメントを表示します。ipa topologysegment-find コマンドを使用します。プロンプトが表示されたら、必要なトポロジー接尾辞 (domain または ca) を指定します。以下に例を示します。
```
ipa topologysegment-find
```
```
$ ipa topologysegment-find
Suffix name: domain
------------------
8 segments matched
------------------
  Segment name: new_segment
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 8
----------------------------
```
Copy to Clipboard Toggle word wrap
必要なセグメントを出力で特定します。
2 つのサーバーを結合するトポロジーセグメントを削除します。
```
ipa topologysegment-del
```
```
$ ipa topologysegment-del
Suffix name: domain
Segment name: new_segment
-----------------------------
Deleted segment "new_segment"
-----------------------------
```
Copy to Clipboard Toggle word wrap
セグメントを削除すると、レプリカ合意が削除されます。

検証

セグメントがリストに表示されなくなったことを確認します。

ipa topologysegment-find

$ ipa topologysegment-find
Suffix name: domain
------------------
7 segments matched
------------------
  Segment name: server2.example.com-to-server3.example.com
  Left node: server2.example.com
  Right node: server3.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 7
----------------------------

Copy to Clipboard

Toggle word wrap

24.11. Web UI を使用したトポロジーからのサーバーの削除
リンクのコピー

Identity Management (IdM) の Web インターフェイスを使用して、トポロジーからサーバーを削除できます。この操作では、サーバーコンポーネントがホストからアンインストールされません。

前提条件

IdM 管理者としてログインしている。
削除するサーバーが、残りのトポロジーで他のサーバーに接続する 唯一のサーバーではない。この場合、他のサーバーが分離されますが、これは許可されていません。
削除するサーバーが、最後の CA または DNS サーバー ではない。

警告

サーバーの削除は元に戻せないアクションです。サーバーを削除すると、トポロジーに戻す唯一の方法は、マシンに新しいレプリカをインストールすることです。

手順

IPA Server → Topology → IPA Servers を選択します。
削除するサーバーの名前をクリックします。
図24.11 サーバーの選択

View larger image
Delete Server をクリックします。

関連情報

IdM サーバーのアンインストール

24.12. CLI を使用したトポロジーからのサーバーの削除
リンクのコピー

コマンドラインを使用して、トポロジーから Identity Management (IdM) サーバーを削除できます。

前提条件

IdM 管理者認証情報がある。
削除するサーバーが、残りのトポロジーで他のサーバーに接続する 唯一のサーバーではない。この場合、他のサーバーが分離されますが、これは許可されていません。
削除するサーバーが、最後の CA または DNS サーバー ではない。

重要

サーバーの削除は元に戻せないアクションです。サーバーを削除すると、トポロジーに戻す唯一の方法は、マシンに新しいレプリカをインストールすることです。

手順

server1.example.com を削除するには、次の手順を実行します。

別のサーバーで ipa server-del コマンドを実行して、server1.example.com を削除します。このコマンドは、サーバーを参照するすべてのトポロジーセグメントを削除します。

ipa server-del

[user@server2 ~]$ ipa server-del
Server name: server1.example.com
Removing server1.example.com from replication topology, please wait...
----------------------------------------------------------
Deleted IPA server "server1.example.com"
----------------------------------------------------------

Copy to Clipboard

Toggle word wrap

オプション: server1.example.com で、ipa server-install --uninstall コマンドを実行して、マシンからサーバーコンポーネントをアンインストールします。
```
ipa server-install --uninstall
```
```
[root@server1 ~]# ipa server-install --uninstall
```
Copy to Clipboard Toggle word wrap

24.13. 古い RUV レコードの削除
リンクのコピー

レプリカ合意を適切に削除せずに IdM トポロジーからサーバーを削除すると、古いレプリカ更新ベクトル (RUV) レコードは、トポロジー内の残りの複数のサーバーに残されます。これは、たとえば自動化により発生する可能性があります。これらのサーバーは、現在削除されたサーバーから更新を受け取ることを想定しています。この場合は、残りのサーバーから古い RUV レコードをクリーンアップする必要があります。

前提条件

IdM 管理者認証情報がある。
どのレプリカが壊れているか、または不適切に削除されたかがわかっている。

手順

ipa-replica-manage list-ruv コマンドを使用して、RUV の詳細をリスト表示します。このコマンドは、レプリカ ID を表示します。
```
ipa-replica-manage list-ruv
```
```
$ ipa-replica-manage list-ruv

server1.example.com:389: 6
server2.example.com:389: 5
server3.example.com:389: 4
server4.example.com:389: 12
```
Copy to Clipboard Toggle word wrap
重要
ipa-replica-manage list-ruv コマンドは、誤作動したり、不適切に削除されたりしたレプリカだけでなく、トポロジー内のすべてのレプリカをリスト表示します。
ipa-replica-manage clean-ruv を使用して、指定したレプリカに関連付けられた古い RUV を削除します。古い RUV を持つすべてのレプリカ ID に対してこのコマンドを繰り返します。たとえば、server1.example.com と server2.example.com が誤作動したり、レプリカが不適切に削除されたりすることを確認している場合:
```
ipa-replica-manage clean-ruv 6
ipa-replica-manage clean-ruv 5
```
```
ipa-replica-manage clean-ruv 6
ipa-replica-manage clean-ruv 5
```
Copy to Clipboard Toggle word wrap

警告

ipa-replica-manage clean-ruv の使用には、特別な注意を払って続行してください。有効なレプリカ ID を指定してコマンドを実行すると、レプリカデータベース内のそのレプリカに関連するすべてのデータが破損します。

この場合は、$ ipa-replica-manage re-initialize --from server1.example.com を使用して、別のレプリカからレプリカを再初期化します。

検証

ipa-replica-manage list-ruv を再度実行します。このコマンドで破損した RUV が表示されなくなった場合は、レコードが正常に消去されています。

このコマンドで、依然として破損した RUV が表示される場合は、このタスクを使用して手動で削除します。

dn: cn=clean replica_ID, cn=cleanallruv, cn=tasks, cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: replica_ID
replica-force-cleaning: no
cn: clean replica_ID

dn: cn=clean replica_ID, cn=cleanallruv, cn=tasks, cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: replica_ID
replica-force-cleaning: no
cn: clean replica_ID

Copy to Clipboard

Toggle word wrap

24.14. IdM Web UI を使用して IdM トポロジーで利用可能なサーバーロールを表示する
リンクのコピー

IdM サーバーにインストールされるサービスに基づいて、さまざまな サーバーロール を実行できます。以下に例を示します。

CA サーバー
DNS サーバー
Key Recovery Authority (KRA) サーバー

手順

サポートされるサーバーロールの完全なリストは、IPA Server → Topology → Server Roles を参照してください。
注記
- Role status が absent の場合は、トポロジー内でそのロールを実行しているサーバーがないことを示しています。
- Role status が enabled の場合は、トポロジー内でそのロールを実行しているサーバーが 1 台以上あることを示しています。
図24.12 Web UI でのサーバーロール

View larger image

24.15. IdM CLI を使用して IdM トポロジーで利用可能なサーバーロールを表示する
リンクのコピー

IdM サーバーにインストールされるサービスに基づいて、さまざまな サーバーロール を実行できます。以下に例を示します。

CA サーバー
DNS サーバー
Key Recovery Authority (KRA) サーバー

手順

トポロジー内のすべての CA サーバーと現在の CA 更新サーバーを表示するには、以下を実行します。

ipa config-show

$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA CA renewal master: server1.example.com

Copy to Clipboard

Toggle word wrap

または、特定のサーバー (例: server.example.com) で有効になっているロールのリストを表示するには、以下を実行します。
```
ipa server-show
```
```
$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, KRA server
```
Copy to Clipboard Toggle word wrap
または、ipa server-find --servrole コマンドを使用して、特定のサーバーロールが有効になっているすべてのサーバーを検索します。たとえば、すべての CA サーバーを検索するには、以下を実行します。
```
ipa server-find --servrole "CA server"
```
```
$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------
```
Copy to Clipboard Toggle word wrap

24.16. レプリカの CA 更新サーバーおよび CRL パブリッシャーサーバーへのプロモート
リンクのコピー

IdM デプロイメントで組み込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つが CA サブシステム証明書の更新を管理する CA 更新サーバーとして機能します。IdM CA サーバーの 1 つは、証明書失効リストを生成する IdM CRL パブリッシャーサーバーとしても機能します。

デフォルトでは、CA 更新サーバーおよび CRL パブリッシャーサーバーロールは、システム管理者が ipa-server-install または ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーにインストールされます。ただし、CA ロールが有効になっている他の IdM サーバーに、どちらかの機能を移動することもできます。

前提条件

IdM 管理者認証情報がある。

手順

24.17. 非表示レプリカの降格または昇格
リンクのコピー

レプリカのインストール後、レプリカの表示状態を設定できます。

非表示のレプリカの詳細は、非表示のレプリカモードを参照してください。

前提条件

レプリカが DNSSEC キーマスターではないことを確認する。そうである場合は、このレプリカを非表示にする前に、サービスを別のレプリカに移動します。
レプリカが CA 更新サーバーではないことを確認する。そうである場合は、このレプリカを非表示にする前に、サービスを別のレプリカに移動します。詳細は以下を参照してください。

IdM CA 更新サーバーの変更およびリセット

手順

レプリカを非表示にするには、以下を実行します。
```
ipa server-state replica.idm.example.com --state=hidden
```
```
# ipa server-state replica.idm.example.com --state=hidden
```
Copy to Clipboard Toggle word wrap
レプリカを再度表示するには、以下を実行します。
```
ipa server-state replica.idm.example.com --state=enabled
```
```
# ipa server-state replica.idm.example.com --state=enabled
```
Copy to Clipboard Toggle word wrap
トポロジー内の非表示のレプリカをすべてリスト表示するには、以下を実行します。
```
ipa config-show
```
```
# ipa config-show
```
Copy to Clipboard Toggle word wrap
すべてのレプリカが有効になっている場合は、コマンドの出力に非表示のレプリカは表示されません。

第25章 IdM Healthcheck ツールのインストールおよび実行
リンクのコピー

IdM Healthcheck ツールと、ツールのインストールおよび実行方法を詳しく説明します。

25.1. IdM の Healthcheck
リンクのコピー

Identity Management (IdM) の Healthcheck コマンドラインツールは、IdM 環境のパフォーマンスに影響を与える可能性のある問題を検出するのに役立ちます。Healthcheck を使用すると、問題を事前に特定して、重大化する前に修正できます。

注記

Healthcheck は Kerberos チケットを取得しなくても使用できます。

独立したモジュール

Healthcheck は、以下の項目をチェックする独立したモジュールで構成されています。

レプリケーションの問題
証明書の有効性
認証局のインフラストラクチャーの問題
IdM および Active Directory の信頼の問題
ファイルのパーミッションと所有権の正しい設定

出力形式と出力先

output-type オプションを使用して、Healthcheck によって生成される次の出力の種類を設定できます。

JSON: マシンが判読できる出力 (デフォルト)
human: 人間が判読できる出力

--output-file オプションを使用して、出力を保存するファイルを指定できます。

結果

Healthcheck の各モジュールは、次のいずれかの結果を返します。

SUCCESS: システムが期待どおりに設定されています。
WARNING: 設定を監視または評価することを推奨します。
ERROR: システムが期待どおりに設定されていません。
CRITICAL: 設定が予想どおりではなく、IdM デプロイメントの機能に大きな影響を与える可能性があります。

25.2. IdM Healthcheck のインストール
リンクのコピー

IdM Healthcheck ツールをインストールする方法を説明します。

前提条件

root でログインしている。

手順

ipa-healthcheck パッケージをインストールします。
```
dnf install ipa-healthcheck
```
```
[root@server ~]# dnf install ipa-healthcheck
```
Copy to Clipboard Toggle word wrap

検証

基本的な Healthcheck テストを実行します。
```
ipa-healthcheck
```
```
[root@server ~]# ipa-healthcheck
[]
```
Copy to Clipboard Toggle word wrap
角括弧 [] が空であれば、IdM インストールは完全に機能しています。

25.3. IdM Healthcheck の実行
リンクのコピー

Healthcheck テストは、次のいずれかの方法で実行できます。

手動
ログローテーションを使用した自動実行

このセクションでは、テストを手動で実行する方法を説明します。

前提条件

Healthcheck ツールがインストールされてる。IdM Healthcheck のインストールを参照してください。

手順

オプション: 利用可能なすべての Healthcheck テストのリストを表示するには、次のように入力します。
```
ipa-healthcheck --list-sources
```
```
[root@server ~]# ipa-healthcheck --list-sources
```
Copy to Clipboard Toggle word wrap
Healthcheck ユーティリティーを実行するには、次のように入力します。
```
ipa-healthcheck
```
```
[root@server ~]# ipa-healthcheck
```
Copy to Clipboard Toggle word wrap

第26章 Ansible Playbook で Identity Management サーバーのインストール
リンクのコピー

以下のセクションでは、Ansible を使用してシステムを IdM サーバーとして設定する方法を説明します。システムを IdM サーバーとして設定すると、IdM ドメインを確立し、システムが IdM クライアントに IdM サービスを提供できるようになります。デプロイメントは、Ansible ロール ipaserver により管理されます。

前提条件

Ansibleと IdM の概念を理解している:
- Ansible ロール
- Ansible ノード
- Ansible インベントリー
- Ansible タスク
- Ansible モジュール
- Ansible プレイおよび Playbook

26.1. Ansible と、IdM をインストールする利点
リンクのコピー

Ansible は、システムの設定、ソフトウェアのデプロイ、ローリング更新の実行に使用する自動化ツールです。Ansible には Identity Management (IdM) のサポートが含まれるため、Ansible モジュールを使用して、IdM サーバー、レプリカ、クライアント、または IdM トポロジー全体の設定などのインストールタスクを自動化できます。

IdM のインストールに Ansible を使用する利点

以下のリストは、手動インストールとは対照的に、Ansible を使用して Identity Management をインストールする利点を示しています。

マネージドノードにログインする必要がありません。
デプロイする各ホストに個別に設定する必要はありません。代わりに、完全なクラスターをデプロイするためのインベントリーファイルを 1 つ使用できます。
ユーザーおよびホストを追加するなど、後で管理タスクにインベントリーファイルを再利用できます。IdM には関係のないタスクであっても、インベントリーファイルを再利用できます。

関連情報

26.2. ansible-freeipa パッケージのインストール
リンクのコピー

以下の手順では、ansible-freeipa ロールをインストールする方法を説明します。

前提条件

コントローラーが、有効なサブスクリプションを備えた Red Hat Enterprise Linux システムである。そうでない場合は、公式の Ansible ドキュメントの Installation guide で、代替のインストール方法を参照してください。
コントローラーから SSH プロトコルを介して管理対象ノードに到達できる。マネージドノードが、コントローラーの /root/.ssh/known_hosts ファイルのリストに記載されていることを確認します。

手順

Ansible コントローラーで以下の手順を実行します。

必要なリポジトリーを有効にします。

subscription-manager repos --enable rhel-9-for-x86_64-appstream-rpms

# subscription-manager repos --enable rhel-9-for-x86_64-appstream-rpms

Copy to Clipboard

Toggle word wrap

IdM Ansible ロールをインストールします。
```
dnf install ansible-freeipa
```
```
# dnf install ansible-freeipa
```
Copy to Clipboard Toggle word wrap

ロールが /usr/share/ansible/roles/ ディレクトリーにインストールされます。

26.3. ファイルシステム内の Ansible ロールの場所
リンクのコピー

デフォルトでは、ansible-freeipa ロールは /usr/share/ansible/roles/ ディレクトリーにインストールされます。ansible-freeipa パッケージの構造は以下のとおりです。

/usr/share/ansible/roles/ ディレクトリーには、Ansible コントローラーの ipaserver ロール、ipareplica ロール、および ipaclient ロールが保存されています。各ロールディレクトリーには、サンプル、基本的な概要、ライセンス、および Markdown ファイルの README.md のロールに関する情報が保存されています。
```
ls -1 /usr/share/ansible/roles/
```
```
[root@server]# ls -1 /usr/share/ansible/roles/
ipaclient
ipareplica
ipaserver
```
Copy to Clipboard Toggle word wrap
/usr/share/doc/ansible-freeipa/ ディレクトリーには、Markdown ファイルの README.md に、各ロールおよびトポロジーに関する情報が保存されています。また、playbooks/ サブディレクトリーも保存されています。
```
ls -1 /usr/share/doc/ansible-freeipa/
```
```
[root@server]# ls -1 /usr/share/doc/ansible-freeipa/
playbooks
README-client.md
README.md
README-replica.md
README-server.md
README-topology.md
```
Copy to Clipboard Toggle word wrap

/usr/share/doc/ansible-freeipa/playbooks/ ディレクトリーは、Playbook のサンプルを保存します。

ls -1 /usr/share/doc/ansible-freeipa/playbooks/

[root@server]# ls -1 /usr/share/doc/ansible-freeipa/playbooks/
install-client.yml
install-cluster.yml
install-replica.yml
install-server.yml
uninstall-client.yml
uninstall-cluster.yml
uninstall-replica.yml
uninstall-server.yml

Copy to Clipboard

Toggle word wrap

26.4. 統合 DNS と統合 CA をルート CA として使用するデプロイメントのパラメーターの設定
リンクのコピー

IdM 統合 DNS ソリューションを使用する環境で、統合 CA をルート CA として使用する IdM サーバーをインストールするためのインベントリーファイルを設定するには、この手順を実行します。

注記

この手順のインベントリーは、INI 形式を使用します。または、YAML 形式または JSON 形式を使用できます。

手順

~/MyPlaybooks/ ディレクトリーを作成します。
```
mkdir MyPlaybooks
```
```
$ mkdir MyPlaybooks
```
Copy to Clipboard Toggle word wrap
~/MyPlaybooks/inventory ファイルを作成します。
編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。
- 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。
IdM ドメインおよびレルムの情報を指定します。
以下のオプションを追加して、統合 DNS を使用することを指定します。
```
ipaserver_setup_dns=true
```
```
ipaserver_setup_dns=true
```
Copy to Clipboard Toggle word wrap
DNS 転送設定を指定します。以下のいずれかのオプションを選択します。
- インストーラーで /etc/resolv.conf ファイルのフォワーダーを使用する場合は、ipaserver_auto_forwarders=true オプションを使用します。/etc/resolv.conf ファイルで指定する nameserver が localhost 127.0.0.1 アドレスである場合、または仮想プライベートネットワークにあり、使用している DNS サーバーが通常パブリックインターネットから到達できない場合は、このオプションは使用しないでください。
- ipaserver_forwarders を使用して、フォワーダーを手動で指定します。インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。
- 代わりにルート DNS サーバーを使用するように設定するには、ipaserver_no_forwarders=true オプションを使用します。
  注記
  DNS フォワーダーがないと、環境は分離され、インフラストラクチャー内の他の DNS ドメインからの名前は解決されません。
DNS の逆引きレコードとゾーンの設定を指定します。次のいずれかのオプションを選択します。
- ゾーンがすでに解決可能である場合でも (逆引き) ゾーンの作成を許可するには、ipaserver_allow_zone_overlap=true オプションを使用します。
- ipaserver_reverse_zones オプションを使用して、逆引きゾーンを手動で指定します。
- インストーラーで逆引き DNS ゾーンを作成しない場合は、ipaserver_no_reverse=true オプションを使用します。
  注記
  オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。
admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

オプション: IdM サーバーで使用するカスタムの firewalld ゾーンを指定します。カスタムゾーンを設定しないと、IdM によりサービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

重要

指定する firewalld ゾーンは存在し、永続的でなければなりません。

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
[...]

Copy to Clipboard

Toggle word wrap

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

Copy to Clipboard

Toggle word wrap

カスタムの firewalld 損を使用したインベントリーファイルの例

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

Copy to Clipboard

Toggle word wrap

Ansible Vault ファイルに保存された admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

インベントリーファイルの admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

26.5. 外部 DNS と統合 CA をルート CA として使用するデプロイメントのパラメーターの設定
リンクのコピー

外部 DNS ソリューションを使用する環境で、統合 CA をルート CA として使用する IdM サーバーをインストールするためのインベントリーファイルを設定するには、この手順を実行します。

注記

この手順のインベントリーファイルは、INI 形式を使用します。または、YAML 形式または JSON 形式を使用できます。

手順

~/MyPlaybooks/ ディレクトリーを作成します。
```
mkdir MyPlaybooks
```
```
$ mkdir MyPlaybooks
```
Copy to Clipboard Toggle word wrap
~/MyPlaybooks/inventory ファイルを作成します。
編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。
- 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。
IdM ドメインおよびレルムの情報を指定します。
ipaserver_setup_dns オプションが no に設定されているか、存在しないことを確認します。
admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

オプション: IdM サーバーで使用するカスタムの firewalld ゾーンを指定します。カスタムゾーンを設定しないと、IdM によりサービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

重要

指定する firewalld ゾーンは存在し、永続的でなければなりません。

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
[...]

Copy to Clipboard

Toggle word wrap

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

Copy to Clipboard

Toggle word wrap

カスタムの firewalld 損を使用したインベントリーファイルの例

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

Copy to Clipboard

Toggle word wrap

Ansible Vault ファイルに保存された admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

インベントリーファイルの admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

26.6. Ansible Playbook を使用して、統合 CA をルート CA とする IdM サーバーをデプロイする
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して、統合された認証局 (CA) を備えた IdM サーバーをデプロイします。

前提条件

マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。
以下のいずれかの手順を選択して、シナリオに対応するパラメーターを設定している。
- 統合 DNS を使用した手順
- 外部 DNS を使用した手順

手順

Ansible Playbook の実行:

ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server.yml

$ ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server.yml

Copy to Clipboard

Toggle word wrap

以下のいずれかのオプションを選択します。
- IdM デプロイメントで外部 DNS を使用する場合: /tmp/ipa.system.records.UFRPto.db ファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
  ... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
  Copy to Clipboard Toggle word wrap
重要
既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
- IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。
  - 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
    重要
    IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
  - タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

26.7. 統合 DNS と、ルート CA としての外部 CA を使用したデプロイメントのパラメーターの設定
リンクのコピー

IdM 統合 DNS ソリューションを使用する環境で、外部 CA をルート CA として使用する IdM サーバーをインストールするためのインベントリーファイルを設定するには、この手順を実行します。

注記

この手順のインベントリーファイルは、INI 形式を使用します。または、YAML 形式または JSON 形式を使用できます。

手順

~/MyPlaybooks/ ディレクトリーを作成します。
```
mkdir MyPlaybooks
```
```
$ mkdir MyPlaybooks
```
Copy to Clipboard Toggle word wrap
~/MyPlaybooks/inventory ファイルを作成します。
編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。
- 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。
IdM ドメインおよびレルムの情報を指定します。
以下のオプションを追加して、統合 DNS を使用することを指定します。
```
ipaserver_setup_dns=true
```
```
ipaserver_setup_dns=true
```
Copy to Clipboard Toggle word wrap
DNS 転送設定を指定します。以下のいずれかのオプションを選択します。
- インストールプロセスで /etc/resolv.conf ファイルのフォワーダーを使用する場合は、ipaserver_auto_forwarders=true オプションを使用します。/etc/resolv.conf ファイルで指定する nameserver が localhost 127.0.0.1 アドレスである場合、または仮想プライベートネットワークにあり、使用している DNS サーバーが通常パブリックインターネットから到達できない場合は、このオプションを使用することが推奨されません。
- ipaserver_forwarders を使用して、フォワーダーを手動で指定します。インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。
- 代わりにルート DNS サーバーを使用するように設定するには、ipaserver_no_forwarders=true オプションを使用します。
  注記
  DNS フォワーダーがないと、環境は分離され、インフラストラクチャー内の他の DNS ドメインからの名前は解決されません。
DNS の逆引きレコードとゾーンの設定を指定します。次のいずれかのオプションを選択します。
- ゾーンがすでに解決可能である場合でも (逆引き) ゾーンの作成を許可するには、ipaserver_allow_zone_overlap=true オプションを使用します。
- ipaserver_reverse_zones オプションを使用して、逆引きゾーンを手動で指定します。
- インストールプロセスで逆引き DNS ゾーンを作成しない場合は、ipaserver_no_reverse=true オプションを使用します。
  注記
  オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。
admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

オプション: IdM サーバーで使用するカスタムの firewalld ゾーンを指定します。カスタムゾーンを設定しないと、IdM はサービスをデフォルトの firewalld ゾーンに追加します。事前定義されたデフォルトゾーンは public です。

重要

指定する firewalld ゾーンは存在し、永続的でなければなりません。

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
[...]

Copy to Clipboard

Toggle word wrap

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

Copy to Clipboard

Toggle word wrap

カスタムの firewalld 損を使用したインベントリーファイルの例

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=true
ipaserver_auto_forwarders=true
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[...]

Copy to Clipboard

Toggle word wrap

インストールの最初ステップ用の Playbook を作成します。証明書署名要求 (CSR) を生成し、それをコントローラーからマネージドノードにコピーする指示を入力します。

---
- name: Playbook to configure IPA server Step 1
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_ca: true

  roles:
  - role: ipaserver
    state: present

  post_tasks:
  - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
    fetch:
      src: /root/ipa.csr
      dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
      flat: true

---
- name: Playbook to configure IPA server Step 1
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_ca: true

  roles:
  - role: ipaserver
    state: present

  post_tasks:
  - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
    fetch:
      src: /root/ipa.csr
      dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
      flat: true

Copy to Clipboard

Toggle word wrap

インストールの最終ステップ用に、別の Playbook を作成します。

---
- name: Playbook to configure IPA server Step 2
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_cert_files:
      - "/root/servercert20240601.pem"
      - "/root/cacert.pem"

  pre_tasks:
  - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
    ansible.builtin.copy:
      src: "{{ groups.ipaserver[0] }}-{{ item }}"
      dest: "/root/{{ item }}"
      force: true
    with_items:
    - servercert20240601.pem
    - cacert.pem

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server Step 2
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_cert_files:
      - "/root/servercert20240601.pem"
      - "/root/cacert.pem"

  pre_tasks:
  - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
    ansible.builtin.copy:
      src: "{{ groups.ipaserver[0] }}-{{ item }}"
      dest: "/root/{{ item }}"
      force: true
    with_items:
    - servercert20240601.pem
    - cacert.pem

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

26.8. 外部 DNS と、ルート CA としての外部 CA を使用したデプロイメントのパラメーターの設定
リンクのコピー

外部 DNS ソリューションを使用する環境で、外部 CA をルート CA として使用する IdM サーバーをインストールするためのインベントリーファイルを設定するには、この手順を実行します。

注記

この手順のインベントリーファイルは、INI 形式を使用します。または、YAML 形式または JSON 形式を使用できます。

手順

~/MyPlaybooks/ ディレクトリーを作成します。
```
mkdir MyPlaybooks
```
```
$ mkdir MyPlaybooks
```
Copy to Clipboard Toggle word wrap
~/MyPlaybooks/inventory ファイルを作成します。
編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。
- 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。
IdM ドメインおよびレルムの情報を指定します。
ipaserver_setup_dns オプションが no に設定されているか、存在しないことを確認します。
admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

オプション: IdM サーバーで使用するカスタムの firewalld ゾーンを指定します。カスタムゾーンを設定しないと、IdM によりサービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

重要

指定する firewalld ゾーンは存在し、永続的でなければなりません。

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
[...]

Copy to Clipboard

Toggle word wrap

必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234

[...]

Copy to Clipboard

Toggle word wrap

カスタムの firewalld 損を使用したインベントリーファイルの例

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[...]

[ipaserver]
server.idm.example.com

[ipaserver:vars]
ipaserver_domain=idm.example.com
ipaserver_realm=IDM.EXAMPLE.COM
ipaserver_setup_dns=no
ipaadmin_password=MySecretPassword123
ipadm_password=MySecretPassword234
ipaserver_firewalld_zone=custom zone

[...]

Copy to Clipboard

Toggle word wrap

インストールの最初ステップ用の Playbook を作成します。証明書署名要求 (CSR) を生成し、それをコントローラーからマネージドノードにコピーする指示を入力します。

---
- name: Playbook to configure IPA server Step 1
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_ca: true

  roles:
  - role: ipaserver
    state: present

  post_tasks:
  - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
    fetch:
      src: /root/ipa.csr
      dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
      flat: true

---
- name: Playbook to configure IPA server Step 1
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_ca: true

  roles:
  - role: ipaserver
    state: present

  post_tasks:
  - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
    fetch:
      src: /root/ipa.csr
      dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
      flat: true

Copy to Clipboard

Toggle word wrap

インストールの最終ステップ用に、別の Playbook を作成します。

---
- name: Playbook to configure IPA server Step 2
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_cert_files:
      - "/root/servercert20240601.pem"
      - "/root/cacert.pem"

  pre_tasks:
  - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
    ansible.builtin.copy:
      src: "{{ groups.ipaserver[0] }}-{{ item }}"
      dest: "/root/{{ item }}"
      force: true
    with_items:
    - servercert20240601.pem
    - cacert.pem

  roles:
  - role: ipaserver
    state: present

---
- name: Playbook to configure IPA server Step 2
  hosts: ipaserver
  become: true
  vars_files:
  - playbook_sensitive_data.yml
  vars:
    ipaserver_external_cert_files:
      - "/root/servercert20240601.pem"
      - "/root/cacert.pem"

  pre_tasks:
  - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
    ansible.builtin.copy:
      src: "{{ groups.ipaserver[0] }}-{{ item }}"
      dest: "/root/{{ item }}"
      force: true
    with_items:
    - servercert20240601.pem
    - cacert.pem

  roles:
  - role: ipaserver
    state: present

Copy to Clipboard

Toggle word wrap

26.9. 外部 CA をルート CA として使用する IdM サーバーを Ansible Playbook を使用してデプロイする
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して、外部認証局 (CA) を備えた IdM サーバーをデプロイします。

前提条件

マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。
以下のいずれかの手順を選択して、シナリオに対応するパラメーターを設定している。
- 統合 DNS を使用した手順
- 外部 DNS を使用した手順

手順

インストールの最初のステップの指示を含む Ansible Playbook を実行します (例: install-server-step1.yml)。

ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml

$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml

Copy to Clipboard

Toggle word wrap

コントローラー上の ipa.csr 証明書署名要求ファイルを見つけ、これを外部 CA に送信します。
外部 CA が署名した IdM CA 証明書をコントローラーファイルシステムに配置して、次のステップの Playbook で見つけられるようにします。
インストールの最後のステップの指示を含む Ansible Playbook を実行します (例: install-server-step2.yml)。
```
ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml
```
```
$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml
```
Copy to Clipboard Toggle word wrap
以下のいずれかのオプションを選択します。
- IdM デプロイメントで外部 DNS を使用する場合: /tmp/ipa.system.records.UFRPto.db ファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
  ... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
  Copy to Clipboard Toggle word wrap
重要
既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
- IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。
  - 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
    重要
    IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
  - タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

26.10. Ansible Playbook を使用した IdM サーバーのアンインストール
リンクのコピー

注記

既存の Identity Management (IdM) デプロイメントでは、レプリカ と サーバー は置き替え可能なな用語です。

以下の手順に従って、Ansible Playbook を使用して IdM レプリカをアンインストールします。この例では、以下が適用されます。

IdM 設定は、server123.idm.example.com からアンインストールされます。
server123.idm.example.com と関連するホストエントリーが IdM トポロジーから削除されます。

前提条件

コントロールノード:
- Ansible バージョン 2.14 以降を使用している。
- ansible-freeipa パッケージがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成している。
- secret.yml Ansible vault に ipaadmin_password が保存されている。
- ipaserver_remove_from_topology オプションを機能させるには、システムが RHEL 9.3 以降で実行されている必要があります。
マネージドノード:
- システムが RHEL 9 で実行されている。

手順

Ansible Playbook ファイル uninstall-server.yml を次の内容で作成します。
```
---
- name: Playbook to uninstall an IdM replica
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    ipaserver_remove_from_domain: true
    state: absent
```
```
---
- name: Playbook to uninstall an IdM replica
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    ipaserver_remove_from_domain: true
    state: absent
```
Copy to Clipboard Toggle word wrap
ipaserver_remove_from_domain オプションは、IdM トポロジーからホストを登録解除します。
注記
server123.idm.example.com を削除するとトポロジーが切断される場合は、削除は中止されます。詳細は、Ansible Playbook を使用した IdM サーバーのアンインストール (トポロジーが切断された場合でも) を参照してください。

レプリカをアンインストールします。

ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/uninstall-server.yml

$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/uninstall-server.yml

Copy to Clipboard

Toggle word wrap

server123.idm.example.com を指しているネームサーバー (NS) DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、IdM CLI での DNS レコードの削除を参照してください。

26.11. Ansible Playbook を使用した IdM サーバーのアンインストール (トポロジーが切断された場合でも)
リンクのコピー

注記

既存の Identity Management (IdM) デプロイメントでは、レプリカ と サーバー は置き替え可能なな用語です。

IdM トポロジーが切断されたとしても、Ansible Playbook を使用して IdM レプリカをアンインストールするには、以下の手順を実行します。この例では、server456.idm.example.com を使用して、レプリカと、トポロジーから server123.idm.example.com の FQDN を持つ関連付けられたホストエントリーを削除します。これにより、特定のレプリカが server456.idm.example.com および残りのトポロジーから切断されます。

注記

remove_server_from_domain のみを使用してトポロジーからレプリカを削除しても、トポロジーは切断されないため、他のオプションは必要ありません。トポロジーが切断される結果となった場合は、ドメインの保持したい部分を指定する必要があります。その場合、以下を実行する必要があります。

ipaserver_remove_on_server 値を指定します。
ipaserver_ignore_topology_disconnect を True に設定します。

前提条件

コントロールノード:
- Ansible バージョン 2.14 以降を使用している。
- システムが RHEL 9.3 以降で実行されている。
- ansible-freeipa パッケージがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成している。
- secret.yml Ansible vault に ipaadmin_password が保存されている。
マネージドノード:
- システムが 9 以降で実行されている。

手順

Ansible Playbook ファイル uninstall-server.yml を次の内容で作成します。

---
- name: Playbook to uninstall an IdM replica
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    ipaserver_remove_from_domain: true
    ipaserver_remove_on_server: server456.idm.example.com
    ipaserver_ignore_topology_disconnect: true
    state: absent

---
- name: Playbook to uninstall an IdM replica
  hosts: ipaserver
  become: true

  roles:
  - role: ipaserver
    ipaserver_remove_from_domain: true
    ipaserver_remove_on_server: server456.idm.example.com
    ipaserver_ignore_topology_disconnect: true
    state: absent

Copy to Clipboard

Toggle word wrap

注記

通常の状況では、server123 を削除してもトポロジーが切断されない場合で、ipaserver_remove_on_server の値が設定されていない場合は、server123 が削除されたレプリカは server123 のレプリカ合意を使用して自動的に決定されます。

レプリカをアンインストールします。

ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/uninstall-server.yml

$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/uninstall-server.yml

Copy to Clipboard

Toggle word wrap

server123.idm.example.com を指しているネームサーバー (NS) DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、IdM CLI での DNS レコードの削除を参照してください。

関連情報

インベントリーの基本: 形式、ホスト、およびグループ
IdM サーバーをインストールするためのサンプルの Ansible Playbook と、ansible-freeipa アップストリームのドキュメントで使用できる変数のリストを表示できます。

第27章 Ansible Playbook を使用した Identity Management レプリカのインストール
リンクのコピー

Ansible を使用してシステムを IdM レプリカとして設定すると、IdM ドメインに登録され、ドメインの IdM サーバーにある IdM サービスをシステムが使用できるようになります。

デプロイメントは、Ansible ロール ipareplica で管理されます。このロールは、自動検出モードを使用して、IdM サーバー、ドメイン、およびその他の設定を識別できます。ただし、階層のような形で複数のレプリカをデプロイし、レプリカの各グループを異なるタイミングでデプロイする場合は、各グループに特定のサーバーまたはレプリカを定義する必要があります。

前提条件

Ansible コントロールノードに ansible-freeipa パッケージがインストールされている。
Ansible と IdM の一般的な概念を理解している。
デプロイメント内のレプリカトポロジーを計画した。

27.1. IdM レプリカをインストールするためのベース変数、サーバー変数、およびクライアント変数の指定
リンクのコピー

IdM レプリカをインストールするためのインベントリーファイルを設定するには、以下の手順を完了します。

前提条件

次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.14 以降を使用している。
- Ansible コントローラーに ansible-freeipa パッケージがインストールされている。

手順

編集するインベントリーファイルを開きます。IdM レプリカとなるホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN は有効な DNS 名である必要があります。
- 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。
  レプリカの FQDN のみが定義されている単純なインベントリーホストファイルの例
  [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...]
  
  Copy to Clipboard Toggle word wrap
  IdM サーバーがデプロイされており、SRV レコードが IdM DNS ゾーンに適切に設定されている場合、スクリプトはその他に必要な値をすべて自動的に検出します。
オプション: トポロジーの設計方法に基づいて、インベントリーファイルに追加情報を入力します。
シナリオ 1
自動検出を回避し、[ipareplicas] セクションに記載されているすべてのレプリカが特定の IdM サーバーを使用するようにするには、インベントリーファイルの [ipaservers] セクションにそのサーバーを設定します。
IdM サーバーとレプリカの FQDN が定義されているインベントリーホストファイルの例

[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...]

Copy to Clipboard Toggle word wrap
シナリオ 2
または、自動検出を回避して、特定のサーバーで特定のレプリカをデプロイする場合は、インベントリーファイルの [ipareplicas] セクションに、特定のレプリカのサーバーを個別に設定します。
特定のレプリカ用に特定の IdM サーバーが定義されたインベントリーファイルの例

[ipaservers] server.idm.example.com replica1.idm.example.com [ipareplicas] replica2.idm.example.com replica3.idm.example.com ipareplica_servers=replica1.idm.example.com

Copy to Clipboard Toggle word wrap
上記の例では、replica3.idm.example.com が、すでにデプロイされた replica1.idm.example.com を複製元として使用します。
シナリオ 3
1 つのバッチに複数のレプリカをデプロイする場合は、多層レプリカのデプロイメントが役に立ちます。インベントリーファイルにレプリカの特定グループ (例: [ipareplicas_tier1] および [ipareplicas_tier2]) を定義し、Playbook install-replica.yml で各グループに個別のプレイを設計します。
レプリカ階層が定義されているインベントリーファイルの例

[ipaservers] server.idm.example.com [ipareplicas_tier1] replica1.idm.example.com [ipareplicas_tier2] replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com

Copy to Clipboard Toggle word wrap
ipareplica_servers の最初のエントリーが使用されます。次のエントリーは、フォールバックオプションとして使用されます。IdM レプリカのデプロイに複数の層を使用する場合は、最初に tier1 からレプリカをデプロイし、次に tier2 からレプリカをデプロイするように、Playbook に個別のタスクが必要です。
レプリカグループごとに異なるプレイを定義した Playbook ファイルの例

--- - name: Playbook to configure IPA replicas (tier1) hosts: ipareplicas_tier1 become: true roles: - role: ipareplica state: present - name: Playbook to configure IPA replicas (tier2) hosts: ipareplicas_tier2 become: true roles: - role: ipareplica state: present

Copy to Clipboard Toggle word wrap
オプション: firewalld と DNS に関する追加情報を入力します。
シナリオ 1
指定の firewalld ゾーン (内部ゾーンなど) をレプリカで使用する場合は、インベントリーファイルでゾーンを指定できます。カスタムゾーンを設定しないと、IdM によりサービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。
重要
指定する firewalld ゾーンは存在し、永続的でなければなりません。
カスタム firewalld 帯を持つシンプルなインベントリーホストファイルの例

[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...] [ipareplicas:vars] ipareplica_firewalld_zone=custom zone

Copy to Clipboard Toggle word wrap
シナリオ 2
レプリカで IdM DNS サービスをホストする場合は、[ipareplicas:vars] セクションに ipareplica_setup_dns=true 行を追加します。また、サーバーごとの DNS フォワーダーを使用するかどうかを指定します。
サーバーごとのフォワーダーを設定するには、ipareplica_forwarders 変数と文字列のリストを [ipareplicas:vars] セクションに追加します (例: ipareplica_forwarders=192.0.2.1,192.0.2.2)。
サーバーごとのフォワーダーを設定しない場合は、[ipareplicas:vars] セクションに ipareplica_no_forwarders=true 行を追加します。
レプリカの /etc/resolv.conf ファイルにリスト表示されているフォワーダーに基づいてサーバーごとにフォワーダーを設定するには、[ipareplicas:vars] セクションに ipareplica_auto_forwarders を追加します。
レプリカに DNS とサーバーごとのフォワーダーを設定する手順を含むインベントリーファイルの例

[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...] [ipareplicas:vars] ipareplica_setup_dns=true ipareplica_forwarders=192.0.2.1,192.0.2.2

Copy to Clipboard Toggle word wrap
シナリオ 3
クラスターのデプロイを簡素化するために、ipaclient_configure_dns_resolve および ipaclient_dns_servers オプション (使用可能な場合) を使用して DNS リゾルバーを指定します。これは、IdM デプロイメントが統合 DNS を使用している場合に特に便利です。
DNS リゾルバーを指定するインベントリーファイルスニペット:

[...] [ipaclient:vars] ipaclient_configure_dns_resolver=true ipaclient_dns_servers=192.168.100.1

Copy to Clipboard Toggle word wrap
注記
ipaclient_dns_servers リストには IP アドレスのみを含める必要があります。ホスト名を含めることはできません。

27.2. Ansible Playbook を使用して IdM レプリカをインストールするための認証情報の指定
リンクのコピー

この手順は、IdM レプリカのインストールに認可を設定します。

前提条件

次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.14 以降を使用している。
- Ansible コントローラーに ansible-freeipa パッケージがインストールされている。

手順

レプリカをデプロイする権限のあるユーザーのパスワード (IdM の admin など) を指定します。
- Ansible Vault を使用してパスワードを保存し、Playbook ファイル (例: install-replica.yml) から Vault ファイルを参照します。
  Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例
  - name: Playbook to configure IPA replicas hosts: ipareplicas become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipareplica state: present
  
  Copy to Clipboard Toggle word wrap
  Ansible Vault の使用方法は、公式の Ansible Vault ドキュメントを参照してください。
- あまり安全ではありませんが、インベントリーファイルで admin の認証情報を直接提供します。インベントリーファイルの [ipareplicas:vars] セクションで ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。
  インベントリーの hosts.replica ファイルの例
  [...] [ipareplicas:vars] ipaadmin_password=Secret123
  
  Copy to Clipboard Toggle word wrap
  インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例
  - name: Playbook to configure IPA replicas hosts: ipareplicas become: true roles: - role: ipareplica state: present
  
  Copy to Clipboard Toggle word wrap
- または、安全性は低くなりますが、レプリカをインベントリーファイルに直接デプロイすることを許可されている別のユーザーの認証情報を提供します。別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプションを使用し、パスワードに ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。
  インベントリーの hosts.replica ファイルの例
  [...] [ipareplicas:vars] ipaadmin_principal=my_admin ipaadmin_password=my_admin_secret123
  
  Copy to Clipboard Toggle word wrap
  インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例
  - name: Playbook to configure IPA replicas hosts: ipareplicas become: true roles: - role: ipareplica state: present
  
  Copy to Clipboard Toggle word wrap

注記

RHEL 9.5 以降では、IdM レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックが、ユーザー ID オーバーライドのチェックにも拡張されます。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになります。

27.3. Ansible Playbook で IdM レプリカのデプロイメント
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して IdM レプリカをデプロイします。

前提条件

マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。
IdM レプリカをインストールするためのインベントリーファイルを設定しました。
IdM レプリカをインストールするための認証を設定しました。

手順

Ansible Playbook の実行:

ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-replica.yml

$ ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-replica.yml

Copy to Clipboard

Toggle word wrap

次のステップ

大規模なデプロイメントでは、パフォーマンスを向上させるために、IdM レプリカの特定のパラメーターを調整する必要がある場合があります。環境に最適なチューニング手順を見つけるには、Identity Management でのパフォーマンスの調整を参照してください。

27.4. Ansible Playbook を使用した IdM レプリカのアンインストール
リンクのコピー

注記

既存の Identity Management (IdM) デプロイメントでは、レプリカ と サーバー は置き替え可能なな用語です。IdM サーバーをアンインストールする方法の詳細は、Ansible Playbook を使用した IdM サーバーのアンインストールまたはトポロジーが切断される場合でも Ansible Playbook を使用して IdM サーバーをアンインストールするを参照してください。

関連情報

IdM のサーバーおよびクライアントの概要

第28章 Ansible Playbook を使用した Identity Management クライアントのインストール
リンクのコピー

Ansible を使用して、システムを Identity Management (IdM) クライアントとして設定する方法を説明します。システムを IdM クライアントとして設定すると、IdM ドメインに登録され、システムがドメインの IdM サーバーで IdM サービスを使用できるようになります。

デプロイメントは、Ansible ロール ipaclient により管理されます。デフォルトでは、ロールは自動検出モードを使用して、IdM サーバー、ドメイン、およびその他の設定を特定します。ロールは、Ansible Playbook がインベントリーファイルなどに指定した設定を使用するように変更できます。

前提条件

Ansible コントロールノードに ansible-freeipa パッケージがインストールされている。
Ansible バージョン 2.15 以降を使用している。
Ansible と IdM の一般的な概念を理解している。

28.1. 自動検出クライアントインストールモードでインベントリーファイルのパラメーターの設定
リンクのコピー

Ansible Playbook を使用して Identity Management (IdM) クライアントをインストールするには、インベントリーファイル (例: inventory) でターゲットホストのパラメーターを設定します。

ホストに関する情報
タスクの承認

インベントリーファイルは、所有するインベントリープラグインに応じて、多数ある形式のいずれかになります。INI-like 形式は Ansible のデフォルトで、以下の例で使用されています。

注記

RHEL でグラフィカルユーザーインターフェイスでスマートカードを使用するには、Ansible Playbook に ipaclient_mkhomedir 変数を含めるようにします。

手順

inventory ファイルを編集のために開きます。
IdM クライアントになるホストの完全修飾ホスト名 (FQDN) を指定します。完全修飾ドメイン名は、有効な DNS 名である必要があります。
- 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。大文字は使用できません。
SRV レコードが IdM DNS ゾーンで正しく設定されている場合は、スクリプトが自動的に必要な値をすべて検出します。
クライアントの FQDN のみが定義されている単純なインベントリーホストファイルの例
```
[ipaclients]
client.idm.example.com
[...]
```
```
[ipaclients]
client.idm.example.com
[...]
```
Copy to Clipboard Toggle word wrap
クライアントを登録するための認証情報を指定します。以下の認証方法を使用できます。
- クライアントを登録する権限のあるユーザーのパスワード。以下はデフォルトのオプションになります。
  - Ansible Vault を使用してパスワードを保存し、Playbook ファイル (例: install-client.yml) から Vault ファイルを直接参照します。
    Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例
    
    - name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present
    
    Copy to Clipboard Toggle word wrap
  - あまり安全ではありませんが、inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password オプションを使用して、admin の認証情報を提供します。また、別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプション、パスワードに ipaadmin_password オプションを使用します。inventory/hosts インベントリーファイルと、Playbook ファイル install-client.yml は以下のようになります。
    インベントリーホストファイルの例
    
    [...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
    
    Copy to Clipboard Toggle word wrap
    
    インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例
    
    - name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
    
    Copy to Clipboard Toggle word wrap
- 以前登録した クライアントキータブ が利用できる場合は、以下を行います。
  このオプションは、システムが Identity Management クライアントとして登録されたことがある場合に使用できます。この認証方法を使用するには、#ipaclient_keytab オプションのコメントを解除して、キータブを保存するファイルへのパスを指定します (例: inventory/hosts の [ipaclient:vars] セクション)。
- 登録時に生成される ランダムなワンタイムパスワード (OTP)。この認証方法を使用するには、インベントリーファイルで ipaclient_use_otp=true オプションを使用します。たとえば、inventory/hosts ファイルの [ipaclients:vars] セクションにある ipaclient_use_otp=true オプションのコメントを解除できます。OTP では、以下のいずれかのオプションも指定する必要があります。
  - クライアントを登録する権限のあるユーザーのパスワード (例: inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password の値を指定)。
  - 管理者キータブ (例: inventory/hosts の [ipaclients:vars] セクションに ipaadmin_keytab の値を指定)。
オプション: クラスターのデプロイを簡素化するために、ipaclient_configure_dns_resolve および ipaclient_dns_servers オプション (使用可能な場合) を使用して DNS リゾルバーを指定します。これは、IdM デプロイメントが統合 DNS を使用している場合に特に便利です。
DNS リゾルバーを指定するインベントリーファイルスニペット:
```
[...]
[ipaclients:vars]
ipaadmin_password: "{{ ipaadmin_password }}"
ipaclient_domain=idm.example.com
ipaclient_configure_dns_resolver=true
ipaclient_dns_servers=192.168.100.1
```
```
[...]
[ipaclients:vars]
ipaadmin_password: "{{ ipaadmin_password }}"
ipaclient_domain=idm.example.com
ipaclient_configure_dns_resolver=true
ipaclient_dns_servers=192.168.100.1
```
Copy to Clipboard Toggle word wrap
注記
ipaclient_dns_servers リストには IP アドレスのみを含める必要があります。ホスト名を含めることはできません。
RHEL 9.3 以降では、ipaclient_subid: true オプションを指定して、IdM ユーザーのサブ ID 範囲を IdM レベルで設定することもできます。

28.2. クライアントのインストール時に自動検出ができない場合に備えてインベントリーファイルのパラメーターの設定
リンクのコピー

Ansible Playbook を使用して Identity Management クライアントをインストールするには、インベントリーファイルでターゲットホストパラメーターを設定します (例: inventory/hosts)。

ホストと、IdM サーバーおよび IdM ドメインまたは IdM レルムに関する情報
タスクの承認

インベントリーファイルは、所有するインベントリープラグインに応じて、多数ある形式のいずれかになります。INI-like 形式は Ansible のデフォルトで、以下の例で使用されています。

注記

RHEL でグラフィカルユーザーインターフェイスでスマートカードを使用するには、Ansible Playbook に ipaclient_mkhomedir 変数を含めるようにします。

手順

IdM クライアントになるホストの完全修飾ホスト名 (FQDN) を指定します。完全修飾ドメイン名は、有効な DNS 名である必要があります。
- 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
- ホスト名がすべて小文字である。大文字は使用できません。
inventory/hosts ファイルの関連セクションに、他のオプションを指定します。
- [ipaservers] セクションのサーバーの FQDN は、クライアントが登録される IdM サーバーを示します。
- 以下のいずれかのオプションを使用できます。
  - クライアントが登録される IdM サーバーの DNS ドメイン名を指定する [ipaclients:vars] セクションの ipaclient_domain オプション
  - IdM サーバーが制御する Kerberos レルムの名前を示す [ipaclients:vars] セクションの ipaclient_realm オプション
    クライアント FQDN、サーバーの FQDN、およびドメインが定義されているインベントリーホストファイルの例
    
    [ipaclients] client.idm.example.com [ipaservers] server.idm.example.com [ipaclients:vars] ipaclient_domain=idm.example.com [...]
    
    Copy to Clipboard Toggle word wrap
クライアントを登録するための認証情報を指定します。以下の認証方法を使用できます。
- クライアントを登録する権限のあるユーザーのパスワード。以下はデフォルトのオプションになります。
  - Ansible Vault を使用してパスワードを保存し、Playbook ファイル (例: install-client.yml) から Vault ファイルを直接参照します。
    Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例
    
    - name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present
    
    Copy to Clipboard Toggle word wrap
- 安全性は低くなりますが、inventory/hosts ファイルの [ipaclients:vars] セクションの ipaadmin_password オプションを使用して、admin の認証情報が提供されます。また、別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプション、パスワードに ipaadmin_password オプションを使用します。これにより、Playbook ファイル install-client.yml は、以下のようになります。
  インベントリーホストファイルの例
  [...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
  
  Copy to Clipboard Toggle word wrap
  インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例
  - name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
  
  Copy to Clipboard Toggle word wrap
- 以前登録した クライアントキータブ が利用できる場合は、以下を行います。
  このオプションは、システムが Identity Management クライアントとして登録されたことがある場合に使用できます。この認証方法を使用するには、ipaclient_keytab オプションをコメント解除します。たとえば、inventory/hosts の [ipaclient:vars] セクションにあるように、キータブを格納しているファイルへのパスを指定します。
- 登録時に生成される ランダムなワンタイムパスワード (OTP)。この認証方法を使用するには、インベントリーファイルで ipaclient_use_otp=true オプションを使用します。たとえば、inventory/hosts ファイルの [ipaclients:vars] セクションにある #ipaclient_use_otp=true オプションのコメントを解除できます。OTP では、以下のいずれかのオプションも指定する必要があります。
  - クライアントを登録する権限のあるユーザーのパスワード (例: inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password の値を指定)。
  - 管理者キータブ (例: inventory/hosts の [ipaclients:vars] セクションに ipaadmin_keytab の値を指定)。
RHEL 9.3 以降では、ipaclient_subid: true オプションを指定して、IdM ユーザーのサブ ID 範囲を IdM レベルで設定することもできます。

28.3. Ansible Playbook を使用した IdM クライアント登録の認可オプション
リンクのコピー

次のいずれかの方法を使用して、IdM クライアントの登録を許可できます。

ランダムなワンタイムパスワード (OTP) + 管理者パスワード
ランダムなワンタイムパスワード (OTP) + 管理者キータブ
前回登録時のクライアントキータブ
インベントリーファイルに保存されているクライアントの登録権限を持つユーザー (admin) のパスワード
Ansible vault に保存されているクライアントの登録権限を持つユーザー (admin) のパスワード

IdM クライアントをインストールする前に、IdM 管理者が OTP を生成することも可能です。その場合、インストールに OTP 以外の認証情報は必要ありません。

以下は、これらのメソッドのサンプルインベントリーファイルです。

Expand

表28.1 インベントリーファイルのサンプル
認可オプション	インベントリーファイル
ランダムなワンタイムパスワード (OTP) + 管理者パスワード	`[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true` Copy to Clipboard Toggle word wrap
ランダムなワンタイムパスワード (OTP)	`[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>` Copy to Clipboard Toggle word wrap このシナリオでは、インストール前に IdM `admin` が OTP をすでに作成していると想定しています。
ランダムなワンタイムパスワード (OTP) + 管理者キータブ	`[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true` Copy to Clipboard Toggle word wrap
前回登録時のクライアントキータブ	`[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab` Copy to Clipboard Toggle word wrap
インベントリーファイルに保存されている `admin` ユーザーのパスワード	`[ipaclients:vars] ipaadmin_password=Secret123` Copy to Clipboard Toggle word wrap
Ansible vault ファイルに保存されている `admin` ユーザーのパスワード	`[ipaclients:vars] [...]` Copy to Clipboard Toggle word wrap

Ansible vault ファイルに保存されている admin ユーザーのパスワードを使用している場合は、対応する Playbook ファイルに追加の vars_files ディレクティブが必要です。

Expand

インベントリーファイル Playbook ファイル

表28.2 Ansible ボールトに保存されたユーザーパスワード
インベントリーファイル	Playbook ファイル
`[ipaclients:vars] [...]` Copy to Clipboard Toggle word wrap	`- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present` Copy to Clipboard Toggle word wrap

[ipaclients:vars]
[...]

[ipaclients:vars]
[...]

Copy to Clipboard

Toggle word wrap

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true
  vars_files:
  - ansible_vault_file.yml

  roles:
  - role: ipaclient
    state: present

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true
  vars_files:
  - ansible_vault_file.yml

  roles:
  - role: ipaclient
    state: present

Copy to Clipboard

Toggle word wrap

上記で説明したその他すべての認可シナリオの場合、基本的な Playbook ファイルは次のようになります。

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

Copy to Clipboard

Toggle word wrap

注記

RHEL 9.2 以降、上記の 2 つの OTP 承認シナリオでは、kinit コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 9.2 より前は、コントロールノードに krb5-workstation パッケージが必要でした。

28.4. Ansible Playbook を使用した IdM クライアントのデプロイ
リンクのコピー

Ansible Playbook を使用して IdM 環境に IdM クライアントをデプロイするには、この手順を完了します。

前提条件

マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。
IdM クライアントのデプロイメントのパラメーターを、デプロイメントシナリオに対応するように設定している。
- 自動検出クライアントインストールモードでインベントリーファイルのパラメーターの設定
- クライアントのインストール時に自動検出ができない場合に備えてインベントリーファイルのパラメーターの設定

手順

Ansible Playbook の実行:

ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-client.yml

$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-client.yml

Copy to Clipboard

Toggle word wrap

28.5. Ansible のワンタイムパスワード方式を使用して IdM クライアントをインストールする
リンクのコピー

Identity Management (IdM) で新しいホストのワンタイムパスワード (OTP) を生成し、それを使用してシステムを IdM ドメインに登録できます。この手順では、別の IdM ホストで IdM クライアントの OTP を生成した後、Ansible を使用して IdM クライアントをインストールする方法を説明します。

この IdM クライアントのインストール方法は、異なる権限を持つ次の 2 人のシステム管理者が組織内に存在する場合に便利です。

IdM 管理者の認証情報を持つ管理者
必要な Ansible 認証情報 (IdM クライアントになるホストへの root アクセス権を含む) を持つ別の管理者

IdM 管理者は、手順の前半部分を実行し、OTP パスワードを生成します。Ansible 管理者は、手順の残りの部分を実行し、OTP を使用して IdM クライアントをインストールします。

前提条件

IdM admin 認証情報、または少なくとも Host Enrollment 権限と、IdM に DNS レコードを追加する権限を持っている。
IdM クライアントをインストールできるように、Ansible マネージドノードでユーザーエスカレーション方法を設定した。
Ansible コントロールノードが RHEL 8.7 以前で実行されている場合、Ansible コントロールノードにパッケージをインストールできる。
次の要件を満たすように Ansible コントロールノードを設定した。
- Ansible バージョン 2.14 以降を使用している。
- Ansible コントローラーに ansible-freeipa パッケージがインストールされている。
- IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成した。
マネージドノードが、静的 IP アドレスと動作中のパッケージマネージャーを備えた Red Hat Enterprise Linux 9 システムである。

手順

Host Enrollment 権限と DNS レコードを追加する権限を持つロールを持つ IdM ユーザーとして IdM ホストに SSH 接続します。
```
ssh admin@server.idm.example.com
```
```
$ ssh admin@server.idm.example.com
```
Copy to Clipboard Toggle word wrap

新しいクライアントの OTP を生成します。

ipa host-add client.idm.example.com --ip-address=172.25.250.11 --random

[admin@server ~]$ ipa host-add client.idm.example.com --ip-address=172.25.250.11 --random
 --------------------------------------------------
 Added host "client.idm.example.com"
 --------------------------------------------------
  Host name: client.idm.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.idm.example.com

Copy to Clipboard

Toggle word wrap

--ip-address=<your_host_ip_address> オプションは、指定した IP アドレスを持つホストを IdM DNS に追加します。

IdM ホストを終了します。
```
exit
```
```
$ exit
logout
Connection to server.idm.example.com closed.
```
Copy to Clipboard Toggle word wrap

Ansible コントローラーで、ランダムパスワードを含めるようにインベントリーファイルを更新します。

[...]
[ipaclients]
client.idm.example.com

[ipaclients:vars]
ipaclient_domain=idm.example.com
ipaclient_otp=W5YpARl=7M.n
[...]

[...]
[ipaclients]
client.idm.example.com

[ipaclients:vars]
ipaclient_domain=idm.example.com
ipaclient_otp=W5YpARl=7M.n
[...]

Copy to Clipboard

Toggle word wrap

Ansible コントローラーが RHEL 9.1 以前を実行している場合は、krb5-workstation パッケージによって提供される kinit ユーティリティーをインストールします。
```
sudo dnf install krb5-workstation
```
```
$ sudo dnf install krb5-workstation
```
Copy to Clipboard Toggle word wrap
Playbook を実行してクライアントをインストールします。
```
ansible-playbook -i inventory install-client.yml
```
```
$ ansible-playbook -i inventory install-client.yml
```
Copy to Clipboard Toggle word wrap

28.6. Ansible インストール後の Identity Management クライアントのテスト
リンクのコピー

コマンドライン (CLI) により、ansible-playbook コマンドが成功したことが通知されますが、独自のテストを行うこともできます。

Identity Management クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin ユーザーを確認するには、次のコマンドを実行します。

id admin

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Copy to Clipboard

Toggle word wrap

認証が適切に機能していることをテストするには、別の既存 IdM ユーザーで su - を実行します。

su - idm_user

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$

Copy to Clipboard

Toggle word wrap

28.7. Ansible Playbook での IdM クライアントのアンインストール
リンクのコピー

以下の手順に従って、Ansible Playbook を使用して IdM クライアントと機能していたホストをアンインストールします。

前提条件

IdM 管理者の認証情報
マネージドノードが、静的 IP アドレスを持つ Red Hat Enterprise Linux 9 システムである。

手順

クライアントをアンインストールする指示を含む Ansible Playbook を実行します (例: uninstall-client.yml)。
```
ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/uninstall-client.yml
```
```
$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/uninstall-client.yml
```
Copy to Clipboard Toggle word wrap

重要

クライアントをアンインストールすると、基本的な IdM 設定のみがホストから削除されますが、クライアントの再インストールを行うことになった場合に備え、ホストに設定ファイルが残されます。また、アンインストールには以下の制限があります。

IdM LDAP サーバーからクライアントホストエントリーは削除されません。アンインストールではホストの登録解除だけが行われます。
クライアントに存在するサービスは IdM から削除されません。
クライアントの DNS エントリーは IdM サーバーから削除されません。
/etc/krb5.keytab 以外のキータブの古いプリンシパルは削除されません。

アンインストールを行うと、IdM CA がホスト向けに発行した証明書がすべて削除されることに注意してください。

第29章 IdM における DoT による DNS の保護
リンクのコピー

DNS-over-TLS (DoT) を使用する暗号化 DNS (eDNS) を有効にすることで、Identity Management (IdM) デプロイメントで DNS トラフィックを保護できます。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できます。

重要

IdM の暗号化 DNS はテクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

29.1. IdM における暗号化 DNS
リンクのコピー

暗号化 DNS (eDNS) は、DNS over TLS (DoT) を使用して、IdM DNS クライアントとサーバー間のすべての DNS クエリーと応答を暗号化します。IdM は、クライアント上のローカルキャッシュリゾルバーとして unbound サービスを設定し、BIND サービスを使用してサーバー上の DoT 要求を受信します。

デフォルトでは、IdM は relaxed DNS ポリシーを使用します。これにより、DoT が利用できない場合に暗号化されていない DNS にフォールバックできます。relaxed ポリシーを使用すると、IdM クライアントとレプリカはインストール中に DoT 対応 DNS サーバーを自動的に検出します。

暗号化のみの通信の場合は、--dns-policy enforced オプションを設定できます。この設定では、すべての DNS 解決に DoT が厳密に要求され、暗号化されていない要求はすべて拒否されます。インストール前に、IdM サーバーの DoT 証明書を信頼して eDNS 解決に使用するように、クライアントシステムとレプリカシステムの両方を手動で事前に設定する必要があります。

IdM はオプションの統合 DNS サーバーを提供します。統合 DNS サーバーを使用している場合、トポロジーを変更すると、IdM によって SRV やその他のサービスレコードが自動的に管理されます。DNS ビューなどの高度な機能が必要な場合は、外部 DNS サーバー上で DNS レコードを手動で管理できます。統合 IdM DNS は汎用 DNS ソリューションではありません。

IdM サーバー、レプリカ、おクライアント用に eDNS を設定する場合、証明書管理に IdM 認証局 (CA) サービスを使用するか、独自の証明書を提供することができます。証明書を提供しない場合、IdM CA は DNS サービス用の TLS 証明書を自動的に生成して割り当てます。

29.2. eDNS を使用するように設定された IdM サーバーのインストール
リンクのコピー

ipa-server-install ユーティリティーを使用して非対話型インストールを実行することで、DoT が有効になっている IdM サーバーをインストールできます。この手順では、統合 DNS サービスを使用して、enforced ポリシーで DoT を設定する方法について説明します。relaxed ポリシーが必要な場合は、IdM サーバーが自動的に検出するため、DoT 専用のクライアントとレプリカを事前に設定するステップをスキップできます。

統合された IdM 認証局 (CA) が発行した証明書を使用することも、外部 CA が発行したカスタム証明書を提供することもできます。証明書を提供しない場合、IdM CA はインストール中に自動的に DoT 証明書を発行します。

前提条件

IdM サーバーをインストールするためのシステムの準備で概説されているステップを確認した。
enforced DoT の場合は、DoT のみを使用するようにクライアントシステムとレプリカシステムを設定するのステップを完了した。
次のパッケージがインストールされている。
- ipa-server
- ipa-server-dns
- ipa-server-encrypted-dns
- ipa-client-encrypted-dns
  重要
  ipa-server-encrypted-dns パッケージには、RHEL にデフォルトでインストールされているバージョンよりも、新しいバージョンの bind-utils パッケージが必要です。sudo dnf install ipa-server ipa-server-encrypted-dns --allowerasing を実行して、パッケージマネージャーが古い bind-utils パッケージを削除し、ipa-server-encrypted-dns が必要とするバージョンをインストールすることを許可します。

手順

システム firewall に dns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。
```
firewall-cmd --add-service=dns-over-tls
```
```
# firewall-cmd --add-service=dns-over-tls
```
Copy to Clipboard Toggle word wrap

オプション: 外部認証局が発行した DoT 用のカスタム PEM 形式の証明書とキーを使用するには、次のファイルを作成します。

openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

$ openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

Copy to Clipboard

Toggle word wrap

統合 DNS を備えた IdM サーバーをインストールします。

注記

DoT を厳密に必要としない場合は、--dns-policy オプションを省略できます。その場合、インストーラーはデフォルトの relaxed ポリシーを使用します。

外部で発行されたキーと証明書を使用して IdM サーバーをインストールするには、証明書とキーのパスを指定します。

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

統合 IdM CA を使用して IdM サーバーをインストールするには、次のコマンドを実行します。

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

トラブルシューティング

unbound サービスの詳細ロギングを有効にします。
```
unbound-control verbosity 3
```
```
# unbound-control verbosity 3
```
Copy to Clipboard Toggle word wrap
更新された設定を適用するには、unbound サービスを再起動します。
```
systemctl restart unbound
```
```
# systemctl restart unbound
```
Copy to Clipboard Toggle word wrap
unbound サービスのリアルタイムログを監視します。
```
journalctl -u unbound -f
```
```
$ journalctl -u unbound -f
```
Copy to Clipboard Toggle word wrap

29.3. DoT のみを使用するようにクライアントシステムとレプリカシステムを設定する
リンクのコピー

DoT 通信を強制するには、DoT 対応リゾルバーを使用するようにクライアントシステムとレプリカシステムを設定する必要があります。eDNS 通信を有効にするには、NetworkManager の DNS 設定を更新する必要があります。この設定は、--dns-policy が enforced に設定されている場合にのみ必要です。

前提条件

IdM クライアントをインストールするためのシステムの準備および IdM レプリカをインストールするためのシステムの準備で概説されているステップを確認した。
次のパッケージがインストールされている。
- ipa-server-encrypted-dns
- ipa-client-encrypted-dns
  重要
  ipa-server-encrypted-dns パッケージには、RHEL にデフォルトでインストールされているバージョンよりも、新しいバージョンの bind-utils パッケージが必要です。sudo dnf install ipa-server ipa-server-encrypted-dns --allowerasing を実行して、パッケージマネージャーが古い bind-utils パッケージを削除し、ipa-server-encrypted-dns が必要とするバージョンをインストールすることを許可します。

手順

IdM サーバーの DoT 証明書をクライアントシステムとレプリカシステムにコピーします。

scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/

$ scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/

Copy to Clipboard

Toggle word wrap

システム全体のトラストストア設定を更新します。
```
update-ca-trust extract
```
```
# update-ca-trust extract
```
Copy to Clipboard Toggle word wrap
クライアントシステムとレプリカシステムに dnsconfd パッケージをインストールします。
```
dnf install dnsconfd
```
```
# dnf install dnsconfd
```
Copy to Clipboard Toggle word wrap
システム上で DoT のデフォルト設定ファイルを生成します。
```
dnsconfd config install
```
```
dnsconfd config install
```
Copy to Clipboard Toggle word wrap
dnsconfd サービスを有効にします。
```
systemctl enable --now dnsconfd
```
```
# systemctl enable --now dnsconfd
```
Copy to Clipboard Toggle word wrap
NetworkManager をリロードして設定を適用します。
```
nmcli g reload
```
```
# nmcli g reload
```
Copy to Clipboard Toggle word wrap

NetworkManager でシステムの DNS を設定します。

nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip>

# nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip>

Connection successfully reapplied to device '<device_name>'.

Copy to Clipboard

Toggle word wrap

29.4. eDNS を使用するように設定された IdM クライアントのインストール
リンクのコピー

非対話型インストールを実行することで、DNS-over-TLS (DoT) が有効になっている IdM クライアントをインストールできます。この設定では、enforced DoT ポリシーが適用され、クライアントは eDNS クエリーのみを使用するように要求されます。

前提条件

IdM クライアントをインストールするためのシステムの準備に記載されているステップを確認した。
enforced DoT の場合は、DoT のみを使用するようにクライアントシステムとレプリカシステムを設定するのステップを完了した。
ipa-client および ipa-client-encrypted-dns パッケージがインストールされている。

手順

DoT が有効になっている IdM クライアントをインストールします。

ipa-client-install --domain <domain_name> --dns-over-tls -p admin --password <admin_password> -U

# ipa-client-install --domain <domain_name> --dns-over-tls -p admin --password <admin_password> -U

Copy to Clipboard

Toggle word wrap

検証

IdM クライアントで、cat /etc/unbound/unbound.conf を確認します。
```
cat /etc/unbound/unbound.conf
```
```
$ cat /etc/unbound/unbound.conf
```
Copy to Clipboard Toggle word wrap
設定に IdM サーバーの IP アドレスとホスト名が含まれていることを確認します。

トラブルシューティング

IdM クライアントで、DNS クエリーを実行してトラフィックをトリガーします。
```
dig <domain_name>
```
```
$ dig <domain_name>
```
Copy to Clipboard Toggle word wrap
IdM サーバーのログを確認して、クエリーが DoT 経由でルーティングされたことを確認します。

29.5. eDNS を使用するように設定された IdM レプリカのインストール
リンクのコピー

IdM サーバーで DoT が有効になっている環境では、eDNS を使用して IdM レプリカをインストールできます。

統合 DNS サービスを使用してレプリカをインストールすると、レプリカは IdM サーバーと同じ設定を使用します。BIND を実行して受信 DNS クエリー (暗号化クエリーを含む) を処理し、暗号化された送信 DNS トラフィックには unbound を使用します。

統合 DNS サービスなしでレプリカをインストールすると、レプリカはクライアント側の設定を継承します。DoT フォワーダーを備えた unbound を使用して、暗号化された DNS クエリーを IdM DNS サーバーに送信します。

前提条件

IdM レプリカをインストールするためのシステムの準備で概説されているステップを確認した。
enforced DoT の場合は、DoT のみを使用するようにクライアントシステムとレプリカシステムを設定するのステップを完了した。
ipa-client-encrypted-dns および ipa-server-encrypted-dns パッケージがインストールされていることを確認した。

手順

システム firewall に dns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。
```
firewall-cmd --add-service=dns-over-tls
```
```
# firewall-cmd --add-service=dns-over-tls
```
Copy to Clipboard Toggle word wrap
レプリカで DNS レコードを管理するかどうかに応じて、次のいずれかを選択します。
- 統合 DNS を備えた IdM レプリカをインストールするには、以下を実行します。
  # ipa-replica-install --setup-dns --dns-over-tls --dot-forwarder <server_ip>#<dns_server_hostname>
  Copy to Clipboard Toggle word wrap
- 統合 DNS なしで IdM レプリカをインストールするには、以下を実行します。
  # ipa-replica-install --dns-over-tls
  Copy to Clipboard Toggle word wrap

検証

IdM サーバーで、トポロジー内のすべてのレプリカをリスト表示します。
```
ipa-replica-manage list-ruv
```
```
# ipa-replica-manage list-ruv
```
Copy to Clipboard Toggle word wrap

29.6. 既存の IdM DNS サーバーを eDNS を使用するように設定する
リンクのコピー

統合 DNS サービスを再設定することで、既存の Identity Management (IdM) サーバーで DNS-over-TLS (DoT) を有効にできます。DoT 固有のオプションを指定した ipa-dns-install ユーティリティーを使用して、サーバーを再インストールせずに DNS 設定を更新します。

前提条件

IdM サーバーへの root アクセス権限がある。
DNS がすでに IdM サーバーにインストールされている。

手順

オプション: IdM サーバーが統合 DNS を使用していることを確認します。

ipa server-role-find --role 'DNS server'

$ ipa server-role-find --role 'DNS server'
---------------------
1 server role matched
---------------------
  Server name: server.idm.example.com
  Role name: DNS server
  Role status: enabled
----------------------------
Number of entries returned 1
----------------------------

Copy to Clipboard

Toggle word wrap

統合 DNS サービスを更新して DoT を有効にし、DoT ポリシーとフォワーダーを設定します。

ipa-dns-install --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced -U

# ipa-dns-install --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced -U

Copy to Clipboard

Toggle word wrap

システム firewall に dns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。
```
firewall-cmd --add-service=dns-over-tls
```
```
# firewall-cmd --add-service=dns-over-tls
```
Copy to Clipboard Toggle word wrap

検証

ファイアウォールが DoT トラフィックを許可していることを確認します。
```
firewall-cmd --list-services
```
```
# firewall-cmd --list-services
```
Copy to Clipboard Toggle word wrap

29.7. ipa-server-install および ipa-dns-install の DoT 設定オプション
リンクのコピー

IdM デプロイメントで eDNS を有効にするために使用できる設定オプションについて説明します。ipa-server-install を使用して新しい IdM サーバーをインストールするときに eDNS を有効にする場合や、ipa-dns-install コマンドを使用して既存のインストールを変更する場合にも同じオプションを使用できます。

--dns-over-tls は DoT を有効にします。
--dot-forwarder は --dot-forwarder <server_ip_1><dns_server_hostname_1> --dot-forwarder <server_ip_2><dns_server_hostname_2> 形式を使用してアップストリームの DoT サーバーを指定します。
--dns-over-tls-key と --dns-over-tls-cert は、カスタムキーと証明書を設定します。
--dns-policy は、DNS セキュリティーポリシーを設定します。
- --dns-policy=relaxed は、暗号化された (DoT) DNS クエリーと暗号化されていない DNS クエリーの両方を許可します。システムは DoT の使用を試みますが、DoT が利用できない場合は暗号化されていない DNS にフォールバックします。これはデフォルトポリシーになります。
- --dns-policy=enforced は、暗号化された DNS 通信のみを必要とします。システムは DoT を厳格に適用し、IdM クライアントおよびレプリカからの検出を含め、暗号化をサポートしていない DNS 解決を拒否します。

第30章既存の IdM サーバーへの DNS のインストール
リンクのコピー

元々 DNS サービスをインストールしなかった Identity Management (IdM) サーバーに DNS サービスをインストールします。

前提条件

IdM サーバーのインストール: 統合 DNS と統合 CA をルート CA として使用する場合で説明されているように、統合 DNS で IdM を使用する利点と制限を理解している。
IdM サーバーへの root アクセス権限がある。

手順

オプション: IdM サーバーに DNS がまだインストールされていないことを確認します。
```
ipa server-role-show r8server.idm.example.com
```
```
[root@r8server ~]# ipa server-role-show r8server.idm.example.com
Role name: DNS server
  Server name: r8server.idm.example.com
  Role name: DNS server
  Role status: absent
```
Copy to Clipboard Toggle word wrap
この出力で、IdM DNS がサーバーで利用できないことが確認できます。
ipa-dns-server パッケージとその依存関係をダウンロードします。
```
dnf install ipa-server-dns
```
```
[root@r8server ~]# dnf install ipa-server-dns
```
Copy to Clipboard Toggle word wrap
スクリプトを起動して、サーバーに DNS をインストールします。
```
ipa-dns-install
```
```
[root@r8server ~]# ipa-dns-install
```
Copy to Clipboard Toggle word wrap
1. スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
  Do you want to configure DNS forwarders? [yes]:
  Copy to Clipboard Toggle word wrap
  - サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。
    フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
  - DNS 転送を使用しない場合は、no と入力します。
    DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
2. そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
  Do you want to search for missing reverse zones? [yes]:
  Copy to Clipboard Toggle word wrap
  検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
  Do you want to create reverse zone for IP 192.0.2.1 [yes]: Please specify the reverse zone name [2.0.192.in-addr.arpa.]: Using reverse zone(s) 2.0.192.in-addr.arpa.
  Copy to Clipboard Toggle word wrap
  注記
  オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

第31章 IdM サーバーからの統合 IdM DNS サービスのアンインストール
リンクのコピー

Identity Management (IdM) デプロイメントに統合 DNS を備えたサーバーが複数ある場合は、サーバーの 1 つから統合 DNS サービスを削除することに決定する場合があります。削除するためには、まず IdM サーバーの使用を完全に停止してから、統合 DNS なしで IdM を再インストールする必要があります。

注記

IdM サーバーに DNS ロールを追加することはできますが、IdM では、IdM サーバーから DNS ロールのみを削除する方法はありません。ipa-dns-install コマンドには --uninstall オプションがありません。

前提条件

IdM サーバーに統合 DNS がインストールされている。
当該統合 DNS が、IdM トポロジー内の最後の統合 DNS サービスではない。

手順

冗長な DNS サービスを特定し、当該サービスをホストする IdM レプリカで IdM サーバーのアンインストールの手順を実行します。
同じホスト上で、ユースケースに応じて、統合 DNS なしで統合 CA をルート CA とするサーバーまたは統合 DNS なしで、外部 CA をルート CA とするサーバーのいずれかの手順を実行します。

第32章 CA を使用しないデプロイメントで IdM CA サービスを IdM サーバーに追加
リンクのコピー

以前に認証局 (CA) コンポーネントなしで Identity Management (IdM) ドメインをインストールした場合は、ipa-ca-install コマンドを使用して IdM CA サービスをドメインに追加できます。要件に応じて、次のいずれかのオプションを選択できます。

注記

は、CA サービスの計画を参照してください。

32.1. ルート CA として最初の IdM CA を既存の IdM ドメインにインストール
リンクのコピー

以前に認証局 (CA) コンポーネントなしで Identity Management (IdM) をインストールした場合は、後で CA を IdM サーバーにインストールできます。この手順に従って、外部ルート CA に従属しない IdM CA をidmserver サーバーにインストールします。

前提条件

idmserver に対する root 権限がある。
IdM サーバーが idmserver にインストールされている。
IdM デプロイメントには CA がインストールされていません。
IdM Directory Manager パスワードを把握している。

手順

idmserver に、IdM Certificate Server CA をインストールします。
```
[root@idmserver ~] ipa-ca-install
```
```
[root@idmserver ~] ipa-ca-install
```
Copy to Clipboard Toggle word wrap
トポロジー内の各 IdM ホストで、ipa-certupdate ユーティリティーを実行して、IdM LDAP からの新しい証明書に関する情報でホストを更新します。
重要
IdM CA 証明書の生成後に ipa-certupdate を実行しない場合、証明書は他の IdM マシンに配布されません。

32.2. ルート CA として外部 CA を使用する最初の IdM CA を既存の IdM ドメインにインストール
リンクのコピー

以前に認証局 (CA) コンポーネントなしで Identity Management (IdM) をインストールした場合は、後で CA を IdM サーバーにインストールできます。この手順に従って、idmserver サーバーに外部ルート CA に従属する IdM CA をインストールし、その間に 0 個または複数の中間 CA を配置します。

前提条件

idmserver に対する root 権限がある。
IdM サーバーが idmserver にインストールされている。
IdM デプロイメントには CA がインストールされていません。
IdM Directory Manager パスワードを把握している。

手順

インストールを開始します。

[root@idmserver ~] ipa-ca-install --external-ca

[root@idmserver ~] ipa-ca-install --external-ca

Copy to Clipboard

Toggle word wrap

コマンドラインから、証明書署名要求 (CSR) が保存されたことが通知されるまで待ちます。
CSR を外部 CA に送信します。
発行された証明書を IdM サーバーにコピーします。

外部 CA ファイルへの証明書および完全パスを ipa-ca-install に追加してインストールを続行します。

ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt

[root@idmserver ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt

Copy to Clipboard

Toggle word wrap

トポロジー内の各 IdM ホストで、ipa-certupdate ユーティリティーを実行して、IdM LDAP からの新しい証明書に関する情報でホストを更新します。
重要
IdM CA 証明書の生成後に ipa-certupdate を実行できないということは、証明書が他の IdM マシンに配布されないことを意味します。

第33章 CA を使用したデプロイで IdM CA サービスを IdM サーバーに追加
リンクのコピー

Identity Management (IdM) 環境にすでに IdM 認証局 (CA) サービスがインストールされているが、特定の IdM サーバー idmserver が CA なしの IdM レプリカとしてインストールされている場合は、ipa-ca-install を使用して CA サービスを idmserver に追加できます。

注記

この手順は、次の両方のシナリオで同じです。

IdM CA はルート CA です。
IdM CA は、外部のルート CA に従属しています。

前提条件

idmserver に対する root 権限がある。
IdM サーバーが idmserver にインストールされている。
IdM デプロイメントには、別の IdM サーバーに CA がインストールされています。
IdM Directory Manager パスワードを把握している。

手順

idmserver に、IdM Certificate Server CA をインストールします。
```
[root@idmserver ~] ipa-ca-install
```
```
[root@idmserver ~] ipa-ca-install
```
Copy to Clipboard Toggle word wrap

第34章 IdM サーバーからの IdM CA サービスのアンインストール
リンクのコピー

トポロジー内に CA ロール を持つ Identity Management (IdM) レプリカが 5 つ以上あり、冗長な証明書のレプリケーションが原因でパフォーマンスの問題が発生する場合は、IdM レプリカから冗長な CA サービスインスタンスを削除します。これを行うには、該当する IdM レプリカの使用を完全に停止してから、CA サービスなしで IdM を再インストールする必要があります。

注記

IdM レプリカに CA ロールを追加することはできますが、IdM では、IdM レプリカから CA ロールのみを削除する方法はありません。ipa-ca-install コマンドには --uninstall オプションがありません。

前提条件

トポロジー内の 5 つ以上の IdM サーバーに IdM CA サービスがインストールされている。

手順

冗長な CA サービスを特定し、当該サービスをホストする IdM レプリカで IdM サーバーのアンインストールの手順を実行します。
同じホストで、IdM サーバーのインストール: 統合 DNS があり外部 CA がない場合の手順に従います。

IdM サーバーとクライアントのインストール方法

Red Hat ドキュメントへのフィードバック (英語のみ)リンクのコピーリンクがクリップボードにコピーされました!

第1章 IdM サーバーをインストールするためのシステムの準備リンクのコピーリンクがクリップボードにコピーされました!

1.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

1.2. ハードウェア推奨事項リンクのコピーリンクがクリップボードにコピーされました!

1.3. IdM のカスタム設定要件リンクのコピーリンクがクリップボードにコピーされました!

1.3.1. IdM における IPv6 要件リンクのコピーリンクがクリップボードにコピーされました!

1.3.2. IdM における暗号化タイプのサポートリンクのコピーリンクがクリップボードにコピーされました!

1.3.3. IdM でのシステム全体の暗号化ポリシーへの対応リンクのコピーリンクがクリップボードにコピーされました!

1.3.4. FIPS コンプライアンスリンクのコピーリンクがクリップボードにコピーされました!

1.4. IdM のタイムサービス要件リンクのコピーリンクがクリップボードにコピーされました!

1.4.1. IdM で chronyd を同期に使用する方法リンクのコピーリンクがクリップボードにコピーされました!

1.4.2. IdM インストールコマンドの NTP 設定オプションのリストリンクのコピーリンクがクリップボードにコピーされました!

1.4.3. IdM が NTP タイムサーバーを参照できるようにする方法リンクのコピーリンクがクリップボードにコピーされました!

1.5. IdM の DNS ホスト名および DNS の要件への対応リンクのコピーリンクがクリップボードにコピーされました!

1.6. IdM のポート要件リンクのコピーリンクがクリップボードにコピーされました!

1.7. IdM で必要なポートの開放リンクのコピーリンクがクリップボードにコピーされました!

1.8. IdM サーバーに必要なパッケージのインストールリンクのコピーリンクがクリップボードにコピーされました!

1.9. IdM インストール用の正しいファイルモード作成マスクの設定リンクのコピーリンクがクリップボードにコピーされました!

1.10. fapolicyd ルールが IdM インストールをブロックしないようにするリンクのコピーリンクがクリップボードにコピーされました!

1.11. IdM インストールコマンドのオプションリンクのコピーリンクがクリップボードにコピーされました!

第2章 IdM サーバーのインストール: 統合 DNS と統合 CA をルート CA として使用する場合リンクのコピーリンクがクリップボードにコピーされました!

2.1. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

2.2. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの非対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合リンクのコピーリンクがクリップボードにコピーされました!

3.1. 統合 DNS と外部 CA をルート CA として使用する IdM サーバーの対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

3.2. トラブルシューティング: 外部 CA インストールの失敗リンクのコピーリンクがクリップボードにコピーされました!

エラー内容:

解決方法:

第4章 IdM サーバーのインストール: 統合 DNS があり外部 CA がない場合リンクのコピーリンクがクリップボードにコピーされました!

4.1. CA なしで IdM サーバーをインストールするために必要な証明書リンクのコピーリンクがクリップボードにコピーされました!

4.2. 統合 DNS を使用し、CA を使用しない IdM サーバーの対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

第5章 IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合リンクのコピーリンクがクリップボードにコピーされました!

5.1. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

5.2. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの非対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

5.3. 外部 DNS システムの IdM DNS レコードリンクのコピーリンクがクリップボードにコピーされました!

第6章 IdM サーバーのインストール: 統合 DNS を使用せず、外部 CA をルート CA として使用する場合リンクのコピーリンクがクリップボードにコピーされました!

6.1. 外部 CA をルート CA として IdM CA をインストールするときに使用するオプションリンクのコピーリンクがクリップボードにコピーされました!

6.2. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストールリンクのコピーリンクがクリップボードにコピーされました!

6.4. 外部 DNS システムの IdM DNS レコードリンクのコピーリンクがクリップボードにコピーされました!

第7章 HSM に保存されたキーと証明書を使用して IdM デプロイメントをインストールするリンクのコピーリンクがクリップボードにコピーされました!

7.1. サポート対象のハードウェアセキュリティーモジュールリンクのコピーリンクがクリップボードにコピーされました!

7.2. HSM にキーと証明書を保存した統合 CA を使用して IdM サーバーをインストールするリンクのコピーリンクがクリップボードにコピーされました!

7.3. HSM にキーと証明書を保存した外部 CA を使用して IdM サーバーをインストールするリンクのコピーリンクがクリップボードにコピーされました!

7.4. HSM に保存されたキーと証明書を使用して IdM レプリカサーバーをインストールするリンクのコピーリンクがクリップボードにコピーされました!

7.5. HSM に保存されたキーと証明書を使用して KRA サーバーをインストールするリンクのコピーリンクがクリップボードにコピーされました!

7.6. HSM に保存されたキーと証明書を使用して KRA クローンをインストールするリンクのコピーリンクがクリップボードにコピーされました!

第8章 LDIF および INI ファイルからの Directory Server および認証局のカスタム設定を使用した IdM サーバーまたはレプリカのインストールリンクのコピーリンクがクリップボードにコピーされました!

8.1. LDIF ファイルからカスタム Directory Server 設定を使用して IdM サーバーまたはレプリカをインストールするリンクのコピーリンクがクリップボードにコピーされました!

8.2. INI ファイルからカスタム認証局設定を使用して IdM サーバーまたはレプリカをインストールするリンクのコピーリンクがクリップボードにコピーされました!

第9章 IdM サーバーのインストールに関するトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

9.1. IdM サーバーインストールエラーログの確認リンクのコピーリンクがクリップボードにコピーされました!

9.2. 1 台目の IdM CA サーバーの CA インストールエラーログファイルリンクのコピーリンクがクリップボードにコピーされました!

9.3. 1 台目の IdM CA サーバーの CA インストールエラーを確認するリンクのコピーリンクがクリップボードにコピーされました!

9.4. 部分的な IdM サーバーインストールの削除リンクのコピーリンクがクリップボードにコピーされました!

第10章 IdM サーバーのアンインストールリンクのコピーリンクがクリップボードにコピーされました!

第11章 IdM サーバーの名前変更リンクのコピーリンクがクリップボードにコピーされました!

第12章 IdM の更新およびダウンロードリンクのコピーリンクがクリップボードにコピーされました!

12.1. IdM パッケージの更新リンクのコピーリンクがクリップボードにコピーされました!

12.2. IdM パッケージのダウングレードリンクのコピーリンクがクリップボードにコピーされました!

第13章 IdM クライアントをインストールするためのシステムの準備リンクのコピーリンクがクリップボードにコピーされました!

13.1. IdM クライアントのインストールをサポートする RHEL のバージョンリンクのコピーリンクがクリップボードにコピーされました!

13.2. IdM クライアントの DNS 要件リンクのコピーリンクがクリップボードにコピーされました!

13.3. IdM クライアントのポート要件リンクのコピーリンクがクリップボードにコピーされました!

13.4. IdM クライアントの IPv6 要件リンクのコピーリンクがクリップボードにコピーされました!

13.5. IdM クライアントに必要なパッケージのインストールリンクのコピーリンクがクリップボードにコピーされました!

第14章 IdM クライアントのインストールリンクのコピーリンクがクリップボードにコピーされました!

14.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

14.2. ユーザー認証情報を使用したクライアントのインストール: 対話的なインストールリンクのコピーリンクがクリップボードにコピーされました!

14.3. ワンタイムパスワードでクライアントのインストール: 対話的なインストールリンクのコピーリンクがクリップボードにコピーされました!

14.4. クライアントのインストール: 非対話的なインストールリンクのコピーリンクがクリップボードにコピーされました!

14.5. クライアントインストール後に事前設定された IdM の削除リンクのコピーリンクがクリップボードにコピーされました!

14.6. IdM クライアントのテストリンクのコピーリンクがクリップボードにコピーされました!

14.7. IdM クライアントのインストール時に実行される接続リンクのコピーリンクがクリップボードにコピーされました!

14.8. インストール後のデプロイメント実行時の IdM クライアントのサーバーとの通信リンクのコピーリンクがクリップボードにコピーされました!

14.9. SSSD の通信パターンリンクのコピーリンクがクリップボードにコピーされました!

14.10. certmonger の通信パターンリンクのコピーリンクがクリップボードにコピーされました!

第15章 キックスタートによる IdM クライアントのインストールリンクのコピーリンクがクリップボードにコピーされました!

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

第1章 IdM サーバーをインストールするためのシステムの準備
リンクのコピー

1.1. 前提条件
リンクのコピー

1.2. ハードウェア推奨事項
リンクのコピー

1.3. IdM のカスタム設定要件
リンクのコピー

1.3.1. IdM における IPv6 要件
リンクのコピー

1.3.2. IdM における暗号化タイプのサポート
リンクのコピー

1.3.3. IdM でのシステム全体の暗号化ポリシーへの対応
リンクのコピー

1.3.4. FIPS コンプライアンス
リンクのコピー

1.4. IdM のタイムサービス要件
リンクのコピー

1.4.1. IdM で chronyd を同期に使用する方法
リンクのコピー

1.4.2. IdM インストールコマンドの NTP 設定オプションのリスト
リンクのコピー

1.4.3. IdM が NTP タイムサーバーを参照できるようにする方法
リンクのコピー

1.5. IdM の DNS ホスト名および DNS の要件への対応
リンクのコピー

1.6. IdM のポート要件
リンクのコピー

1.7. IdM で必要なポートの開放
リンクのコピー

1.8. IdM サーバーに必要なパッケージのインストール
リンクのコピー

1.9. IdM インストール用の正しいファイルモード作成マスクの設定
リンクのコピー

1.10. fapolicyd ルールが IdM インストールをブロックしないようにする
リンクのコピー

1.11. IdM インストールコマンドのオプション
リンクのコピー

第2章 IdM サーバーのインストール: 統合 DNS と統合 CA をルート CA として使用する場合
リンクのコピー

2.1. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

2.2. 統合 DNS と統合 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合
リンクのコピー

3.1. 統合 DNS と外部 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

3.2. トラブルシューティング: 外部 CA インストールの失敗
リンクのコピー

第4章 IdM サーバーのインストール: 統合 DNS があり外部 CA がない場合
リンクのコピー

4.1. CA なしで IdM サーバーをインストールするために必要な証明書
リンクのコピー

4.2. 統合 DNS を使用し、CA を使用しない IdM サーバーの対話型インストール
リンクのコピー

第5章 IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合
リンクのコピー

5.1. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

5.2. 統合 DNS を使用せず、統合 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

5.3. 外部 DNS システムの IdM DNS レコード
リンクのコピー

第6章 IdM サーバーのインストール: 統合 DNS を使用せず、外部 CA をルート CA として使用する場合
リンクのコピー

6.1. 外部 CA をルート CA として IdM CA をインストールするときに使用するオプション
リンクのコピー

6.2. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの対話型インストール
リンクのコピー

6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストール
リンクのコピー

6.4. 外部 DNS システムの IdM DNS レコード
リンクのコピー

第7章 HSM に保存されたキーと証明書を使用して IdM デプロイメントをインストールする
リンクのコピー

7.1. サポート対象のハードウェアセキュリティーモジュール
リンクのコピー

7.2. HSM にキーと証明書を保存した統合 CA を使用して IdM サーバーをインストールする
リンクのコピー

7.3. HSM にキーと証明書を保存した外部 CA を使用して IdM サーバーをインストールする
リンクのコピー

7.4. HSM に保存されたキーと証明書を使用して IdM レプリカサーバーをインストールする
リンクのコピー

7.5. HSM に保存されたキーと証明書を使用して KRA サーバーをインストールする
リンクのコピー

7.6. HSM に保存されたキーと証明書を使用して KRA クローンをインストールする
リンクのコピー

第8章 LDIF および INI ファイルからの Directory Server および認証局のカスタム設定を使用した IdM サーバーまたはレプリカのインストール
リンクのコピー

8.1. LDIF ファイルからカスタム Directory Server 設定を使用して IdM サーバーまたはレプリカをインストールする
リンクのコピー

8.2. INI ファイルからカスタム認証局設定を使用して IdM サーバーまたはレプリカをインストールする
リンクのコピー

第9章 IdM サーバーのインストールに関するトラブルシューティング
リンクのコピー

9.1. IdM サーバーインストールエラーログの確認
リンクのコピー

9.2. 1 台目の IdM CA サーバーの CA インストールエラーログファイル
リンクのコピー

9.3. 1 台目の IdM CA サーバーの CA インストールエラーを確認する
リンクのコピー

9.4. 部分的な IdM サーバーインストールの削除
リンクのコピー

第10章 IdM サーバーのアンインストール
リンクのコピー

第11章 IdM サーバーの名前変更
リンクのコピー

第12章 IdM の更新およびダウンロード
リンクのコピー

12.1. IdM パッケージの更新
リンクのコピー

12.2. IdM パッケージのダウングレード
リンクのコピー

第13章 IdM クライアントをインストールするためのシステムの準備
リンクのコピー

13.1. IdM クライアントのインストールをサポートする RHEL のバージョン
リンクのコピー

13.2. IdM クライアントの DNS 要件
リンクのコピー

13.3. IdM クライアントのポート要件
リンクのコピー

13.4. IdM クライアントの IPv6 要件
リンクのコピー

13.5. IdM クライアントに必要なパッケージのインストール
リンクのコピー

第14章 IdM クライアントのインストール
リンクのコピー

14.1. 前提条件
リンクのコピー

14.2. ユーザー認証情報を使用したクライアントのインストール: 対話的なインストール
リンクのコピー

14.3. ワンタイムパスワードでクライアントのインストール: 対話的なインストール
リンクのコピー

14.4. クライアントのインストール: 非対話的なインストール
リンクのコピー

14.5. クライアントインストール後に事前設定された IdM の削除
リンクのコピー

14.6. IdM クライアントのテスト
リンクのコピー

14.7. IdM クライアントのインストール時に実行される接続
リンクのコピー

14.8. インストール後のデプロイメント実行時の IdM クライアントのサーバーとの通信
リンクのコピー

14.9. SSSD の通信パターン
リンクのコピー

14.10. certmonger の通信パターン
リンクのコピー

第15章キックスタートによる IdM クライアントのインストール
リンクのコピー

15.1. キックスタートによるクライアントのインストール
リンクのコピー

15.2. クライアントインストール用のキックスタートファイル
リンクのコピー

15.3. IdM クライアントのテスト
リンクのコピー

第16章 IdM クライアントのインストールに関するトラブルシューティング
リンクのコピー