6.2. 対話型インストール
ipa-server-install
ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。
ipa-server-install
インストールスクリプトにより、/var/log/ipaserver-install.log
にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。
以下の手順に従って、サーバーをインストールします。
- 統合 DNS のないサーバー
- 外部認証局 (CA) をルート CA とするサーバー
前提条件
-
--external-ca-type
オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install
(1) の man ページを参照すること。 Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合は、
--external-ca-profile
オプションで指定する証明書プロファイルまたはテンプレートを決定している。デフォルトでは、SubCA
テンプレートが使用される。--external-ca-type
および--external-ca-profile
オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション を参照してください。
手順
--external-ca オプションを使用して
ipa-server-install
ユーティリティーを実行します。Microsoft 証明書サービス (MS CS) CA を使用している場合は、
--external-ca-type
オプションと、任意で--external-ca-profile
オプションを使用します。[root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default
MS CS を使用して IdM CA の署名証明書を生成していない場合は、他のオプションは必要ありません。
# ipa-server-install --external-ca
スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、
no
オプションを選択します。Do you want to configure integrated DNS (BIND)? [no]:
このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。
- デフォルト値を使用する場合は Enter を押します。
カスタム値を指定する場合は、指定する値を入力します。
Server host name [
server.idm.example.com
]: Please confirm the domain name [idm.example.com
]: Please provide a realm name [IDM.EXAMPLE.COM
]:警告名前は慎重に指定してください。インストール完了後に変更することはできません。
Directory Server のスーパーユーザー (
cn=Directory Manager
) のパスワードと、IdM の管理者システムユーザーアカウント (admin
) のパスワードを入力します。Directory Manager password: IPA admin password:
サーバー設定をする場合は、
yes
と入力します。Continue to configure the system with these values? [no]:
yes
Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (
/root/ipa.csr
) を出力します。... Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds [1/8]: creating certificate server user [2/8]: configuring certificate server instance The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
この場合は、以下を行います。
-
/root/ipa.csr
にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
重要CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して
ipa-server-install
を再度実行します。以下に例を示します。# ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
-
- インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
インストールスクリプトは、以下の出力例の DNS リソースレコード でファイル (
/tmp/ipa.system.records.UFRPto.db
) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
重要既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
関連情報
- DNS システムに追加する必要がある DNS リソースレコードの詳細は、外部 DNS システムの IdM DNS レコード を参照してください。
ipa-server-install --external-ca
コマンドは、次のエラーにより失敗する場合があります。ipa : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/pass:quotes[configuration_file]' returned non-zero exit status 1 Configuration of CA failed
この失敗は、
*_proxy
環境変数が設定されていると発生します。問題の解決方法は、トラブルシューティング: 外部 CA インストールの失敗 を参照してください。