ホーム
製品
Red Hat Enterprise Linux
9
Identity Management のインストール
第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
IdM サーバーのインストール時にグローバルフォワーダーを設定して、安定した外部インターネット接続を実現できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
DNS 逆引きゾーンを設定すると、自社ドメインからのメールが IdM ドメイン外のメールサーバーによってスパムとみなされるのを防止できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。詳細は、IdM サーバーで利用可能な DNS サービスを参照してください。

この章では、外部の認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。

3.1. 統合 DNS と外部 CA をルート CA として使用する IdM サーバーの対話型インストール

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

以下を使用してサーバーをインストールするには、次の手順を実行します。

統合 DNS を使用する
外部認証局 (CA) をルート CA として使用する

前提条件

--external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install(1) man ページを参照してください。
Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合: --external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定した。デフォルトでは、SubCA テンプレートが使用されます。
--external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。

手順

--external-ca オプションを使用して ipa-server-install ユーティリティーを実行します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
ipa-server-install --external-ca
```
```
# ipa-server-install --external-ca
```
- Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
```
```
[root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
```
- MS CS を使用して IdM CA の署名証明書を生成していない場合は、他のオプションは必要ありません。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
ipa-server-install --external-ca
```
```
# ipa-server-install --external-ca
```
スクリプトにより、統合 DNS サービスの設定が求められます。yes または no を入力します。この手順では、統合 DNS のあるサーバーをインストールします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
```
Do you want to configure integrated DNS (BIND)? [no]: yes
```
注記
統合 DNS のないサーバーをインストールする場合は、以下の手順にある DNS 設定のプロンプトが表示されません。DNS のないサーバーをインストールする手順の詳細は、5章IdM サーバーのインストール: 統合 DNS を使用せず、統合 CA をルート CA として使用する場合 を参照してください。
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
- カスタム値を指定する場合は、指定する値を入力します。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Server host name [server.idm.example.com]:
Please confirm the domain name [idm.example.com]:
Please provide a realm name [IDM.EXAMPLE.COM]:
```
```
Server host name [server.idm.example.com]:
Please confirm the domain name [idm.example.com]:
Please provide a realm name [IDM.EXAMPLE.COM]:
```
  警告
  名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Directory Manager password:
IPA admin password:
```
```
Directory Manager password:
IPA admin password:
```
スクリプトにより、サーバーごとの DNS フォワーダー設定のプロンプトが表示されます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Do you want to configure DNS forwarders? [yes]:
```
```
Do you want to configure DNS forwarders? [yes]:
```
- サーバーごとの DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAP にフォワーダーの IP アドレスが追加されます。
  - フォワードポリシーのデフォルト設定は、ipa-dns-install(1) の man ページに記載されている --forward-policy の説明を参照してください。
- DNS 転送を使用しない場合は、no と入力します。
  DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。
そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Do you want to search for missing reverse zones? [yes]:
```
```
Do you want to search for missing reverse zones? [yes]:
```
検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
```
Do you want to create reverse zone for IP 192.0.2.1 [yes]:
Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
Using reverse zone(s) 2.0.192.in-addr.arpa.
```
注記
オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

サーバー設定をする場合は、yes と入力します。

Copy to Clipboard Toggle word wrap

Continue to configure the system with these values? [no]: yes

Continue to configure the system with these values? [no]: yes

Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
```
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
```
この場合は、以下を行います。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
  Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
```
```
# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
```
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。
1. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
  重要
  IdM DNS サーバーをインストールするたびに、この手順を繰り返します。
2. タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールされた IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカとクライアントのインストールは、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。

注記

ipa-server-install --external-ca コマンドは、次のエラーにより失敗する場合があります。

Copy to Clipboard Toggle word wrap

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

この失敗は、*_proxy 環境変数が設定されていると発生します。問題の解決方法は、トラブルシューティング: 外部 CA インストールの失敗を参照してください。

トップに戻る

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA をルート CA として使用する場合

3.1. 統合 DNS と外部 CA をルート CA として使用する IdM サーバーの対話型インストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links