B.3. システム設定用キックスタートコマンド

注記

• キックスタートコマンドの auth または authconfig コマンドは、以前は authconfig ツールと呼ばれていました。このツールは、Red Hat Enterprise Linux 8 では非推奨になりました。このキックスタートコマンドは、authselect-compat ツールを使用して、新しい authselect ツールを呼び出せるようになりました。互換性層の説明と、その既知の問題は、authselect-migration(7) の man ページを参照してください。インストールプログラムが自動的に非推奨のコマンドの使用を検出し、互換性層を提供するために、システムに authselect-compat パッケージをインストールします。
• デフォルトでは、パスワードがシャドウ化されています。
• 安全対策上、SSL プロトコルで OpenLDAP を使用する場合はサーバー設定内の SSLv2 および SSLv3 のプロトコルを必ず無効にしてください。POODLE SSL 脆弱性 (CVE-2014-3566) の影響を受けないようにするためです。詳細は、Red Hat ナレッジベースソリューション Resolution for POODLE SSLv3.0 vulnerability を参照してください。

注記

• このコマンドは、すべてのオプションを authselect コマンドに渡します。詳細は、authselect(8) の man ページ、および authselect --help コマンドを参照してください。
• このコマンドは、Red Hat Enterprise Linux 8 で非推奨になった auth または authconfig コマンドを、authconfig ツールに置き換えます。
• デフォルトでは、パスワードがシャドウ化されています。
• 安全対策上、SSL プロトコルで OpenLDAP を使用する場合はサーバー設定内の SSLv2 および SSLv3 のプロトコルを必ず無効にしてください。POODLE SSL 脆弱性 (CVE-2014-3566) の影響を受けないようにするためです。詳細は、Red Hat ナレッジベースソリューション Resolution for POODLE SSLv3.0 vulnerability を参照してください。

必須オプション

• --enabled または --enable - DNS 応答や DHCP 要求など、発信要求に対する応答ではない着信接続を拒否します。このマシンで実行中のサービスへのアクセスが必要な場合は、特定サービスに対してファイアウォールの通過許可を選択できます。
• --disabled または --disable - iptable ルールを一切設定しません。

任意のオプション

• --trust - em1 などのデバイスを指定することで、ファイアウォールを通過するこのデバイスへの着信トラフィックおよびこのデバイスからの発信トラフィックをすべて許可します。複数のデバイスをリスト表示するには、--trust em1 --trust em2 などのオプションをさらに使用します。--trust em1, em2 などのようなコンマ区切りは使用しないでください。
• --remove-service - サービスがファイアウォールを通過するのを許可しません。

• incoming - 指定したサービスがファイアウォールを通過できるように、以下のいずれかに置き換えます (複数のサービスを指定できます)。

  • --ssh
  • --smtp
  • --http
  • --ftp
• --port= - port:protocol の形式で指定したポートのファイアウォール通過を許可できます。たとえば、IMAP アクセスがファイアウォールを通過できるようにする場合は、imap:tcp と指定します。ポート番号を明示的に指定することもできます。ポート 1234 の UDP パケットを許可する場合は 1234:udp と指定します。複数のポートを指定する場合は、コンマで区切って指定します。

• --service= - このオプションは、高レベルでサービスのファイアウォール通過を許可する方法です。サービスの中には複数のポートを開く必要があったり (cups、avahi など)、サービスが正常に動作するように特殊な設定を必要とするものがあります。このような場合は、--port オプションでポート単位での指定を行ったり、--service= を使用して必要なポートをすべて一度に開くことが可能です。

  firewalld パッケージ内の firewall-offline-cmd プログラムで認識できるオプションは、すべて使用できます。firewalld サービスを実行している場合は、firewall-cmd --get-services を実行すると、認識できるサービス名のリストが表示されます。

• --use-system-defaults - ファイアウォールを設定しません。このオプションにより、anaconda では何も実行せず、システムが、パッケージまたは ostree で提供されるデフォルトに依存するようになります。このオプションを他のオプションと共に使用すると、他のすべてのオプションは無視されます。

必須オプション

• --name= - グループ名を指定します。

任意のオプション

• --gid= - グループの GID です。指定しないとシステムの GID 以外で次に使用可能な GID がデフォルト設定されます。

注記

• 指定された名前や GID を持つグループが存在すると、このコマンドは失敗します。
• user コマンドは、新たに作成したユーザーに新しいグループを作成するのに使用できます。

オプション

• --vckeymap= - 使用する VConsole キーマップを指定します。/usr/lib/kbd/keymaps/xkb/ ディレクトリーの各ファイル名から .map.gz 拡張子を外したものが、有効なキーマップ名になります。

• --xlayouts= - 使用する X のレイアウトを、空白なしのコンマで区切ったリストで指定します。setxkbmap(1) と同じ形式 (layout 形式 (cz など)、または layout (variant) 形式 (cz (qwerty) など)) の値をとります。

  使用できるレイアウトは、man ページ xkeyboard-config(7) の Layouts を参照してください。

• --switch= - レイアウト切り替えのオプションリストを指定します (複数のキーボードレイアウト切り替え用のショートカット)。複数のオプションは、空白なしのコンマで区切ってください。setxkbmap(1) と同じ形式の値を受け取ります。

  使用できる切り替えオプションは、xkeyboard-config(7) の man ページの Options をご覧ください。

注記

• --vckeymap= オプションまたは --xlayouts= オプションのいずれかを使用する必要があります。

必須オプション

• language - この言語のサポートをインストールし、システムのデフォルトとして設定します。

任意のオプション

• --addsupport= - 追加言語のサポートを指定します。空白を入れずコンマで区切った形式を受け取ります。以下に例を示します。

  lang en_US --addsupport=cs_CZ,de_DE,en_UK

注記

• locale -a | grep _ コマンドまたは localectl list-locales | grep _ コマンドは、ロケールのリストを返します。
• テキストモードのインストールでは、特定の言語には対応していません (中国語、日本語、韓国語、インド系言語など)。lang コマンドでこの言語を指定しても、インストールプロセスは英語で続行します。ただし、インストール後のシステムでは選択した言語がデフォルトの言語として使用されます。

注記

• このコマンドと %packages セクションを組み合わせて使用すると、モジュールとストリームを明示的に指定せずに、有効なモジュールとストリームの組み合わせで提供されるパッケージをインストールできます。モジュールは、パッケージをインストールする前に有効にする必要があります。module コマンドでモジュールを有効にしたら、%packages セクションにパッケージのリストを追加することで、このモジュールで有効にしたパッケージをインストールできます。
• 1 つの module コマンドで、1 つのモジュールとストリームの組み合わせのみを有効にできます。複数のモジュールを有効にするには、複数の module コマンドを使用します。異なるストリームでモジュールを複数回有効にすることはできません。
• Red Hat Enterprise Linux 9 では、モジュールは AppStream リポジトリーにのみ存在します。利用可能なモジュールのリストを表示するには、インストールされている Red Hat Enterprise Linux 9 システムで dnf module list コマンドを実行します。

必須オプション

• --name= - リポジトリー ID を入力します。このオプションは必須です。以前に追加したリポジトリーと名前が競合する場合は無視されます。インストールプログラムでは事前設定したリポジトリーのリストが使用されるため、このリストにあるリポジトリーと同じ名前のものは追加できません。

• --baseurl= - リポジトリーの URL を入力します。
• --mirrorlist= - リポジトリーのミラーのリストを指す URL を入力します。
• --metalink= - リポジトリーのメタリンクを持つ URL です。

任意のオプション

• --install - 指定したリポジトリーの設定を、インストールしたシステムの /etc/yum.repos.d/ ディレクトリーに保存します。このオプションを使用しない場合は、キックスタートファイルで設定したリポジトリーの使用はインストール中に限られ、インストール後のシステムでは使用できません。
• --cost= - このリポジトリーに割り当てるコストを整数で入力します。複数のリポジトリーで同じパッケージを提供している場合に、リポジトリーの使用優先順位がこの数値で決まります。コストの低いリポジトリーは、コストの高いリポジトリーよりも優先されます。
• --excludepkgs= - このリポジトリーからは読み出してはならないパッケージ名のリストをコンマ区切りで指定します。複数のリポジトリーで同じパッケージが提供されていて、特定のリポジトリーから読み出す場合に便利なオプションです。(publican といった) 完全なパッケージ名と (gnome-* といった) グロブの両方が使えます。
• --includepkgs= - このリポジトリーから取得できるパッケージ名およびグロブのリストをコンマ区切りで指定します。リポジトリーが提供するその他のパッケージは無視されます。これは、リポジトリーが提供する他のパッケージをすべて除外しながら、リポジトリーから 1 つのパッケージまたはパッケージセットをインストールする場合に便利です。
• --proxy=[protocol://][username[:password]@]host[:port] - このリポジトリーにだけ使用する HTTP/HTTPS/FTP プロキシーを指定します。この設定は他のリポジトリーには影響しません。また、HTTP インストールでは install.img の読み込みについても影響はありません。
• --noverifyssl - HTTPS サーバーへの接続の際に、SSL 確認を無効にします。

注記

• インストールに使用するリポジトリーは安定した状態を維持してください。インストールが終了する前にリポジトリーに変更が加えられると、インストールが失敗する可能があります。

必須オプション

• password - パスワード指定。プレーンテキストまたは暗号化された文字列。以下の --iscrypted および --plaintext を参照してください。

オプション

• --iscrypted - このオプションを追加すると、パスワード引数はすでに暗号化済みと仮定されます。--plaintext と相互排他的になります。暗号化したパスワードを作成する場合は python を使用します。

  $ python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'

  上記の例では、ランダムの salt を使用して、パスワードの sha512 暗号と互換性があるハッシュが生成されます。

• --plaintext - このオプションを使用すると、パスワードの引数はプレーンテキストであると仮定されます。--iscrypted と相互排他的になります。
• --lock - このオプションを含めると、root アカウントはデフォルトでロックされます。つまり、root ユーザーはコンソールからログインできなくなります。また、グラフィカルおよびテキストベースの手動インストールで、Root Password ウィンドウが無効になります。
• --allow-ssh - このオプションを指定すると、root ユーザーは SSH でパスワードを使用してシステムにログインできます。このオプションは、RHEL 9.1 以降でのみ利用できます。

オプション

• --disabled= - 無効にするサービスをコンマ区切りで指定します。
• --enabled= - 有効にするサービスをコンマ区切りで指定します。

注記

• services 要素を使用して systemd サービスを有効にする場合は、指定されたサービスファイルを含むパッケージを %packages セクションに含めるようにしてください。

• 複数のサービスは、スペースを入れずにコンマで区切って含める必要があります。たとえば、4 つのサービスを無効にするには、次のように入力します。

  services --disabled=auditd,cups,smartd,nfslock

  スペースを含めると、最初のスペースまでのサービスだけが有効化または無効化されます。以下に例を示します。

  services --disabled=auditd, cups, smartd, nfslock

  この場合は、auditd サービスしか無効になりません。4 つのサービスをすべて無効にするには、エントリーから空白を取り除きます。

注記

• このコマンドにはオプションはありません。

必須オプション

• --username= - 鍵をインストールするユーザー。
• ssh_key - 完全な SSH 鍵のフィンガープリント。引用符でラップする必要があります。

オプション

• --role= - 希望するシステムロールを設定します。利用できる値は次のとおりです。

  • Red Hat Enterprise Linux Server
  • Red Hat Enterprise Linux Workstation
  • Red Hat Enterprise Linux Compute Node

• --sla= - サービスレベルアグリーメントを設定します。利用できる値は次のとおりです。

  • Premium
  • Standard
  • Self-Support

• --usage= - システムの使用方法。利用できる値は次のとおりです。

  • Production
  • Disaster Recovery
  • Development/Test
• --addon= - のレイヤード製品または機能を指定します。このオプションは複数回使用できます。

注記

• スペースで値を入力し、二重引用符で囲みます。

  syspurpose --role="Red Hat Enterprise Linux Server"

• システムの目的を設定することが強く推奨されますが、Red Hat Enterprise Linux インストールプログラムでは任意の機能です。

必須オプション

• timezone - システムに設定するタイムゾーン

任意のオプション

• --utc - これを指定すると、ハードウェアクロックが UTC (グリニッジ標準) 時間に設定されているとシステムは見なします。
• --nontp - NTP サービスの自動スタートを無効にします。このオプションは非推奨となりました。
• --ntpservers= - 使用する NTP サーバーを空白を入れないコンマ区切りのリストで指定します。このオプションは非推奨になりました。代わりに timesource コマンドを使用してください。

• --ntp-server - 1 つの NTP サーバーをタイムソースとして追加します。このオプションは、1 つの NTP タイムソースサーバーを追加するために、1 つのコマンドに 1 回だけ追加できます。複数のソースを追加するには、毎回それぞれ 1 つの --ntp-server オプションまたは --ntp-pool オプションを使用して、複数の timesource コマンドを追加します。たとえば、Europe のタイムゾーンに複数のソースを追加するには、以下のコマンドを実行します。

  timezone Europe
  timesource --ntp-server 0.rhel.pool.ntp.org
  timesource --ntp-server 1.rhel.pool.ntp.org
  timesource --ntp-server 2.rhel.pool.ntp.org

• --ntp-pool - タイムソースとして NTP サーバープールを追加します。このオプションは、1 つの NTP タイムソースプールを追加するために 1 回だけ追加できます。timesource コマンドを繰り返し、複数のソースを追加します。
• --ntp-disable - インストール済みシステムの NTP タイムソースを無効にします。

任意のオプション

• --nts - このコマンドで追加されたサーバーまたはプールは NTS プロトコルを使用します。このオプションは --ntp-disable を使用しても追加できますが、効果はありません。

注記

• timezone コマンドの --ntpservers オプションが非推奨になりました。Red Hat は、この新しいオプションを timesource コマンドの表現機能に使用することを推奨します。
• timesource コマンドのみが、サーバーとプールをプレーン NTP プロトコルではなく、NTS を使用するものとしてマークできます。

必須オプション

• --name= - ユーザー名を入力します。このオプションは必須です。

任意のオプション

• --gecos= - ユーザーの GECOS 情報を指定します。これは、コンマ区切りのさまざまなシステム固有フィールドの文字列です。ユーザーのフルネームやオフィス番号などを指定するのに使用されます。詳細は、passwd(5) の man ページを参照してください。
• --groups= - デフォルトグループの他にもユーザーが所属すべきグループ名のコンマ区切りのリストです。このグループは、ユーザーアカウントの作成前に存在する必要があります。詳細は、group コマンドを参照してください。
• --homedir= - ユーザーのホームディレクトリーです。設定しない場合は、/home/username がデフォルトになります。
• --lock - このオプションを指定すると、このアカウントはデフォルトでロックされます。つまり、ユーザーはコンソールからログインできなくなります。また、グラフィカルおよびテキストベースの手動インストールで、ユーザーの作成 ウィンドウが無効になります。
• --password= - 新規のユーザーパスワードです。指定しないと、そのアカウントはデフォルトでロックされます。

• --iscrypted - このオプションを追加すると、パスワード引数はすでに暗号化済みと仮定されます。--plaintext と相互排他的になります。暗号化したパスワードを作成する場合は python を使用します。

  $ python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'

  上記の例では、ランダムの salt を使用して、パスワードの sha512 暗号と互換性があるハッシュが生成されます。

• --plaintext - このオプションを使用すると、パスワードの引数はプレーンテキストであると仮定されます。--iscrypted と相互排他的になります。
• --shell= - ユーザーのログインシェルです。指定しないと、システムのデフォルトが使用されます。
• --uid= - ユーザーの UID (User ID) です。指定しないと、次に利用可能なシステム以外の UID をデフォルトにします。
• --gid= - ユーザーのグループで使用される GID (Group ID) です。指定しないと、次に利用可能なシステム以外のグループ ID をデフォルトにします。

注記

• --uid と --gid のオプションを使用して、通常のユーザーとそのデフォルトグループに 1000 ではなく 5000 から始まる範囲の ID を設定することを検討してください。これは、システムユーザーおよびグループに予約してある 0-999 の範囲が今後広がり、通常のユーザーの ID と重複する可能性があるためです。

• ファイルおよびディレクトリーはさまざまなパーミッションで作成され、パーミッションは、ファイルまたはディレクトリーを作成するアプリケーションによる影響を受けます。たとえば、mkdir コマンドは、すべてのパーミッションを有効にしてディレクトリーを作成します。ただし、user file-creation mask 設定で指定されたように、アプリケーションは、新規に作成したファイルに特定パーミッションを付与しません。

  user file-creation mask は、umask コマンドで管理できます。新規ユーザー向けの user file-creation mask のデフォルト設定は、インストール済みシステムの /etc/login.defs 設定ファイルの UMASK 変数で定義されます。これを設定しない場合は、デフォルト値 022 を使用します。デフォルト値を使用し、アプリケーションがファイルを作成した場合は、ファイルの所有者以外のユーザーに書き込みパーミッションが付与されません。ただし、これは他の設定やスクリプトで無効にできます。

オプション

• --startxonboot - インストール済みシステムでグラフィカルログインを使用します。

注記

• Red Hat Enterprise Linux 9 には KDE デスクトップ環境が含まれていないため、アップストリームに記載されている --defaultdesktop= を使用しないでください。