第2章 新しい Directory Server インスタンスの設定
Directory Server は、新規インスタンスの作成をサポートします。
前提条件
- Red Hat Directory Server リリースノート で説明されているように、サーバーが、最新の Red Hat Directory Server バージョンのハードウェアおよびソフトウェアの要件を満たしている。
- Directory Server サーバーパッケージは、1章Directory Server パッケージのインストール の説明に従ってインストールされます。
- サーバーの完全修飾ドメイン名 (FQDN) は DNS を使用して解決できます。
2.1. .inf
ファイルを使用したコマンドラインで新規インスタンスの設定
.inf
を使用して Directory Server をインストールすると、高度な設定をカスタマイズできます。たとえば、対話式インストーラーおよび Web コンソールの設定の他に、.inf
で以下の設定をカスタマイズできます。
-
サービスの起動後に
ns-slapd
Directory Server プロセスが使用するユーザーおよびグループ。ユーザーおよびグループは、インストールを開始する前に手動で作成する必要があります。 - 設定、バックアップ、データディレクトリーなどのパス。
- 証明書の有効性
- ロードバランサーの背後で GSSAPI を使用してインスタンスをインストールする場合は、厳密なホストチェックを無効にします。
このセクションでは、以下について説明します。
インストール時に頻繁に使用される設定パラメーターのみを設定する場合は、インタラクティブインストーラーを使用できます。詳細は、「インタラクティブインストーラーを使用してコマンドラインで新規インスタンスの設定」 を参照してください。
2.1.1. Directory Server インスタンスインストール用の .inf
ファイルの作成
本セクションでは、dscreate
ユーティリティー用に .inf
設定ファイルを作成する方法と、お使いの環境に .inf
ファイルを調整する方法を説明します。後のステップで、このファイルを使用して新しい Directory Server インスタンスを作成します。
手順
dscreate create-template
コマンドを使用して、.inf
テンプレートファイルを作成します。たとえば、テンプレートを/root/instance_name.inf
ファイルに保存するには、次のコマンドを実行します。# dscreate create-template /root/instance_name.inf
作成されたファイルには、使用可能なすべてのパラメーターと説明が含まれています
直前の手順で作成したファイルを編集します。
インストールをカスタマイズするように設定するパラメーターのコメントを解除します。
注記すべてのパラメーターにデフォルト値があります。ただし、Red Hat は、実稼働環境用に特定のパラメーターをカスタマイズすることを推奨します。
たとえば、少なくとも以下のパラメーターを設定します。
[slapd] # instance_name (str) # Description: ... # Default value: localhost instance_name = instance_name # root_password (str) # Description: ... # Default value: directory manager password root_password = password
dscreate create-template
コマンドで作成するテンプレートファイルには、これらのセクションで設定できるパラメーターの総合的なリストが含まれます。インスタンスの作成時に接尾辞を自動的に作成するには、以下を実行します。
create_suffix_entry
パラメーターのコメントを解除し、true
に設定します。# create_suffix_entry (bool) # Description: ... # Default value: False create_suffix_entry = True
suffix
パラメーターのコメントを解除し、接尾辞を設定します。# suffix (str) # Description: ... # Default value: suffix = dc=example,dc=com
重要インスタンスの作成時に接尾辞を作成する代わりに、Red Hat Directory Server 管理ガイドの データベースの作成 で説明されているように、後で作成することができます。ただし、接尾辞を作成せずに、このインスタンスにデータを保存することはできません。
必要に応じて、他のパラメーターのコメントを解除し、お使いの環境に適切な値に設定します。たとえば、LDAP プロトコルおよび LDAPS プロトコルに異なるポートを指定するには、これらのパラメーターを使用します。
注記デフォルトでは、作成する新規インスタンスには自己署名証明書と TLS 有効化が含まれます。Red Hat は、セキュリティーを強化するために、この機能を無効にしないことを推奨します。自己署名証明書は、後で認証局 (CA) が発行する証明書に置き換えることができること注意してください。
関連情報
-
.inf
ファイルに設定できるパラメーターの完全リストと各パラメーターの説明は、dscreate create-template
コマンドが作成するテンプレートファイルを参照してください。 - インストール後に証明書をインストールする方法は、Red Hat Directory Server 管理ガイドの Directory Server が使用する NSS データベースの管理 を参照してください。
2.1.2. .inf
ファイルを使用した新しい Directory Server インスタンスの設定
本セクションでは、.inf
ファイルを使用して、コマンドラインを使用して新しい Directory Server インスタンスを設定する方法を説明します。
前提条件
-
Directory Server インスタンスの
.inf
ファイルが、「Directory Server インスタンスインストール用の.inf
ファイルの作成」 の説明に従って作成されている。
手順
.inf
ファイルをdscreate from-file
コマンドに渡して、新しいインスタンスを作成します。以下に例を示します。# dscreate from-file /root/instance_name.inf Starting installation... Completed installation for instance_name
作成されたインスタンスは自動的に起動され、システムの起動時に起動するように設定されています。
- ファイアウォールで必要なポートを開きます。「ファイアウォールで必要なポートを開く」 を参照
2.1.3. ファイアウォールで必要なポートを開く
他のマシンがネットワーク経由で Directory Server に接続できるようにするには、ローカルのファイアウォールで必要なポートを開きます。
インスタンスの作成時にポートが指定されていないと、そのインスタンスは LDAP にポート 389
を使用し、LDAPS プロトコルにはポート 636
を使用します。
前提条件
- インスタンスの作成時に設定される LDAP プロトコルおよび LDAPS プロトコルのポート番号。
手順
firewalld
サービスが実行していることを確認します。firewalld
が実行中であることを確認するには、次のコマンドを実行します。# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2018-06-15 14:06:33 CEST; 1h 17min ago ...
firewalld
を起動し、システムの起動時にサービスが自動的に起動するように設定するには、次のコマンドを実行します。# systemctl start firewalld # systemctl enable firewalld
firewall-cmd
ユーティリティーを使用して必要なポートを開きます。たとえば、デフォルトのファイアウォールゾーンで LDAP および LDAPS のデフォルトポートを開くには、次を実行します。# firewall-cmd --permanent --add-port={389/tcp,636/tcp}
ファイアウォール設定を再読み込みし、変更が即座に行われることを確認します。
# firewall-cmd --reload
関連情報
-
firewall-cmd
を使用してシステムでポートを開く方法は、Red Hat Enterprise Linux の セキュリティーガイド または man ページfirewall-cmd(1)
を参照してください。