ホーム
製品
Red Hat Enterprise Linux
9
Identity Management のインストール
6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストール

6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストール

以下を使用してサーバーをインストールできます。

統合 DNS を使用しない
外部認証局 (CA) をルート CA として使用する

注記

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

--external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install(1) man ページを参照してください。
Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合: --external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定した。デフォルトでは、SubCA テンプレートが使用されます。
--external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。

手順

必要に応じて必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。外部 CA をルート CA として使用する IdM サーバーを非対話的にインストールする場合の最小要件オプションは以下のとおりです。
- --external-ca - 外部 CA をルート CA として指定します。
- --realm - Kerberos レルム名を指定します。
- --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
- --admin-password - IdM 管理者である admin のパスワードを指定します。
- --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。
  以下に例を示します。
  # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  Copy to Clipboard Toggle word wrap
Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプションを参照してください。
Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。
```
...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful
```
```
...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful
```
Copy to Clipboard Toggle word wrap
この場合は、以下を行います。
1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
  重要
  CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
  # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  Copy to Clipboard Toggle word wrap
インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
```
...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
```
Copy to Clipboard Toggle word wrap

重要

既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

トップに戻る

6.3. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの非対話型インストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links