Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.2. その他のクライアントインストールオプションの例

ipa-client-install コマンドには、インフラストラクチャーの要件に応じて、さまざまな方法でのクライアントシステムの設定に使用できる設定オプションが複数あります。

例5.1 DNS 更新の有効化

DHCP 設定によっては、クライアントの IP アドレスは、一定の規則をもとに変更できす。IP アドレスを変更すると、IdM サーバーの DNS レコードと、実際に使用中の IP アドレスとの間に差異が発生して、IdM 内で設定されたポリシーやクライアントとサービス間の通信に影響が及ぶ可能性があります。
--enable-dns-updates オプションでは、クライアントの IP アドレスが変更されるたびに DNS エントリーを更新する System Security Services Daemon (SSSD) を設定します。 
[root@client ~]# ipa-client-install --enable-dns-updates

例5.2 ドメイン情報の指定

クライアントインストールコマンドだけを実行すると、スクリプトで、登録する IdM サーバーの名前、DNS ドメイン名、Kerberos レルムおよびプリンシパルなど、必要な IdM ドメイン名が求められます。
上記の基本情報はすべて、インストールコマンドで指定できます (このインストールコマンドは自動インストールに便利です)。
  • --domain: DNS ドメイン名 (DNS サービスをホストするように IdM サーバーが設定されている場合のみ)
  • --server: 登録する IdM サーバー (トポロジー内の任意のサーバーまたはレプリカ)
    これは、数字、アルファベット文字、およびハイフン (-) のみが使用された有効な DNS 名でなければなりません。ホスト名にアンダースコアなどの他の文字が含まれていると、DNS が正常に機能しなくなります。
  • --realm: Kerbero レルム名。オプションで Kerberos プリンシパル名には -p を使用します。 
[root@client ~]# ipa-client-install --domain EXAMPLE.COM --server server.example.com --realm EXAMPLE -p host/server.example.com

例5.3 特定の IdM サーバーの設定

IdM サーバートポロジーには、複数のサーバーおよびレプリカが存在する可能性があります。更新やユーザー情報の取得に、クライアントがサーバーに接続する必要がある場合には、(デフォルトでは) サービスを使用してドメイン内をスキャンして利用可能なサーバーとレプリカを検出します。つまり、検出スキャンの結果に応じて、クライアントが実際に接続する先のサーバーは無作為に決定されることになります。
クライアント更新に使用する IdM ドメイン内に、特定のサーバーを設定できます。何らかの理由で、そのサーバーへの接続に失敗した場合には、クライアントはドメイン内の別のサーバーを検出してフェイルオーバーできます。
優先サーバーは、--fixed-primary オプションで設定します。 
[root@client ~]# ipa-client-install --fixed-primary server.example.com

例5.4 システム認証ツールの無効化

Red Hat Enterprise Linux は、authconfig ツールを使用してローカルシステムの認証クライアントおよびオプションを設定して更新します。Identity Management は System Security Services Daemon (SSSD) を使用して IdM サーバー設定を保存し、IdM ドメイン内で設定したポリシー情報、ユーザー、パスワード、およびグループを取得します。
authconfig および SSSD を使用してユーザー、グループなどの IdM クライアント設定を管理することを強く推奨します。
管理者がシステム認証設定の動的な変更を無効にする状況があります。このような場合は、IdM が authconfig または SSSD を更新しないように無効にできます。
--noac オプションは、authconfig での変更を防ぎます。--no-sssd オプションでは、IdM が SSSD を使用できないようにします。 
[root@client ~]# ipa-client-install --noac --no-sssd
関連のオプションとして --preserve-sssd があります。このオプションでは、クライアントが SSSD 設定ファイルを変更して IdM ドメインを設定できますが、以前の SSSD 設定を保存します。

例5.5 パスワードキャッシングの無効化

SSSD の主な機能の 1 つとして パスワードキャッシュがあります。通常、システムが外部のパスワードストアを使用する場合は、そのパスワードストアにアクセスできなくなると認証に失敗します。ただし、SSSD では認証の試行に成功するとパスワードをキャッシュし、そのパスワードをローカルに保存することができます。これにより、IdM サーバーにアクセスできなくても、ユーザーはドメインサービス (以前はアクセスしたサービス) にログインしてアクセスできるようになります。
セキュリティーレベルの高い環境では、不正アクセスされないように、パスワードのキャッシュを防止する必要がある場合があります。このような場合には、--no-krb5-offline-passwords オプションを使用して、パスワードが SSSD でキャッシュできないようにします。 
[root@client ~]# ipa-client-install --no-krb5-offline-passwords