8.4. シングルサインオンで SSL 証明書の要求
IdM クライアントで Kerberos プリンシパルの厳密なチェックを無効にした後、SSL ベースのサービスを設定できます。SSL ベースのサービスでは、元 (A/AAAA) のレコードと CNAME レコードの両方が証明書に含まれている必要があるため、すべてのシステムホスト名に対応する dNSName
拡張レコードを持つ証明書が必要です。現在、IdM は、IdM データベース内のオブジェクトをホストする証明書のみを発行します。
この手順に従って、IdM で ipa-client.example.com
のホストオブジェクトを作成し、実際の IdM マシンのホストオブジェクトがこのホストを管理できることを確認します。
前提条件
- Kerberos サーバーをターゲットとするために使用される Kerberos プリンシパルの厳密なチェックを無効にした。
手順
IdM サーバーに新しいホストオブジェクトを作成します。
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
ホスト名は CNAME であり、A/AAAA レコードではないため、
--force
オプションを使用します。IdM サーバーで、IdM DNS ホスト名が、IdM データベースの Active Directory ホストエントリーを管理できるようにします。
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
これで、Active Directory DNS ドメイン内のホスト名に
dNSName
拡張レコードを使用して、IdM クライアントの SSL 証明書を要求できるようになります。[root@idm-client.idm.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=`hostname --fqdn` \ -D `hostname --fqdn` \ -D idm-client.ad.example.com \ -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth