6.3. 非対話型インストール
この手順では、以下のサーバーをインストールします。
- 統合 DNS のないサーバー
- 外部認証局 (CA) をルート CA とするサーバー
ipa-server-install
インストールスクリプトにより、/var/log/ipaserver-install.log
にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。
前提条件
-
--external-ca-type
オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install
(1) の man ページを参照すること。 Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合は、
--external-ca-profile
オプションで指定する証明書プロファイルまたはテンプレートを決定している。デフォルトでは、SubCA
テンプレートが使用される。--external-ca-type
および--external-ca-profile
オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション を参照してください。
手順
必要に応じて必要な情報をすべて指定して、
ipa-server-install
ユーティリティーを実行します。外部 CA をルート CA として使用する IdM サーバーを非対話的にインストールする場合の最小要件オプションは以下のとおりです。-
--external-ca
- 外部 CA をルート CA として指定します。 -
--realm
- Kerberos レルム名を指定します。 -
--ds-password
- Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。 -
--admin-password
- IdM 管理者であるadmin
のパスワードを指定します。 --unattended
- インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。以下に例を示します。
# ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
Microsoft 証明書サービス (MS CS) CA を使用している場合は、
--external-ca-type
オプションと、任意で--external-ca-profile
オプションを使用します。詳細は、root CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション を参照してください。-
Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (
/root/ipa.csr
) を出力します。... Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes [1/11]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as: /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-server-install command was successful
この場合は、以下を行います。
-
/root/ipa.csr
にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
重要CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して
ipa-server-install
を再度実行します。以下に例を示します。# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
-
- インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (
/tmp/ipa.system.records.UFRPto.db
) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
関連情報
- DNS システムに追加する必要がある DNS リソースレコードの詳細は、外部 DNS システムの IdM DNS レコード を参照してください。