Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
5.3. IdM クライアントとしての Linux システムの設定
Red Hat Enterprise Linux クライアントのクライアント設定プロセスを開始する前に、準備する要素が 2 つあります。
- Kerberos ID (管理ユーザー) を利用できるようにするか、クライアントマシンの登録プロセスを開始する前に、ワンタイムパスワードを使用してクライアントマシンをサーバーのクライアントマシンに手動で追加し、クライアントマシンを Kerberos ドメインに接続する手段を設定する必要があります。
- DNS レコードにサービスを提供するネットワーク上に Active Directory サーバーがある場合には、Active Directory の DNS レコードが原因で、クライアントによる IdM サーバーアドレスの自動検出ができなくなる可能性があります。ipa-client-install スクリプトでは、IdM に追加されたレコードの代わりに Active Directory の DNS レコードを取得します。この場合は、IdM サーバーアドレスを ipa-client-install スクリプトに直接指定する必要があります。
5.3.1. クライアントのインストール (完全な例)
- クライアントパッケージをインストールします。このパッケージは、システムをクライアントとして簡単に設定でき、SSSD のインストールや設定も行います。通常のユーザーシステムの場合には、
ipa-clientパッケージのみが必要です。[root@client ~]# yum install ipa-client
管理者マシンには、ipa-admintoolsパッケージも必要です。[root@client ~]# yum install ipa-client ipa-admintools
- IdM サーバーを DNS サーバーとして設定し、クライアントと同じドメインに配置した場合には、クライアントの
/etc/resolv.confファイルにあるネームサーバー一覧の最初のエントリーとして、サーバーの IP アドレスを追加します。ヒントドメイン内のマシンがすべて IdM クライアントである場合は、IdM サーバーのアドレスを DHCP 設定に追加します。 - クライアントの設定コマンドを実行します。
[root@client ~]# ipa-client-install --enable-dns-updates
--enable-dns-updatesオプションを使用すると、クライアントマシンの IP アドレスに DNS が更新されます。このオプションは、IdM サーバーが統合 DNS でインストールされている場合か、ネットワーク上の DNS サーバーで GSS-TSIG プロトコルを使用して DNS エントリーを更新できる場合にのみ、使用するようにしてください。ipa-client-install のオプションは、ipa-client-install の man ページに一覧表示されています。 - プロンプトが表示されたら、IdM DNS ドメインのドメイン名を入力します。
DNS discovery failed to determine your DNS domain Please provide the domain name of your IPA server (ex: example.com): example.com
- プロンプトが表示されたら、IdM サーバーの完全修飾ドメイン名を入力します。または、クライアントのインストールスクリプトに
--serverオプションを使用して、IdM サーバーの完全修飾ドメイン名を指定します。DNS discovery failed to find the IPA Server Please provide your IPA server name (ex: ipa.example.com): server.example.com
重要これは、数字、アルファベット文字、およびハイフン (-) のみが使用された有効な DNS 名でなければなりません。ホスト名にアンダースコアなどの他の文字が含まれていると、DNS が正常に機能しなくなります。 - 次にクライアントのスクリプトは、Kerberos ID を入力するようにプロンプトを表示し、その ID を使用して問い合わせを行い、Kerberos レルムに参加します。これらの認証情報を指定すると、クライアントは IdM Kerberos ドメインに参加して設定を完了できます。
Continue to configure the system with these values? [no]: y User authorized to enroll computers: admin Synchronizing time with KDC... Password for admin@EXAMPLE.COM: Successfully retrieved CA cert Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Valid From: Tue Aug 13 09:29:07 2013 UTC Valid Until: Sat Aug 13 09:29:07 2033 UTC Enrolled in IPA realm EXAMPLE.COM Created /etc/ipa/default.conf New SSSD config will be created Configured /etc/sssd/sssd.conf Configured /etc/krb5.conf for IPA realm EXAMPLE.COM Failed to update DNS records. Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub Could not update DNS SSHFP records. SSSD enabled Configured /etc/openldap/ldap.conf NTP enabled Configured /etc/ssh/ssh_config Configured /etc/ssh/sshd_config Client configuration complete.
- クライアントが IdM ドメインに正常に接続でき、基本的なタスクを実行できることをテストします。たとえば、IdM ツールを使用して、ユーザーおよびグループ情報を取得できることを確認します。
[jsmith@client ~]$ id [jsmith@client ~]$ getent passwd admin [jsmith@client ~]$ getent group admins
- NFS サーバーがすでに設定されている場合は、クライアントシステムに NFS を設定して Kerberos と連携させます。NFS サーバーは、ドメイン内に設定しておく必要があります。詳細は、「自動マウントの設定」を参照してください。ヒントNFS の設定時に発生する可能性のあるエラーをトラブルシューティングできるように、
/etc/sysconfig/nfsファイルでデバッグ情報を有効にします。RPCGSSDARGS="-vvv" RPCSVCGSSDARGS="-vvv"
- IdM サーバーで、NFS クライアントの NFS サービスプリンシパルを追加します。
[root@client ~]# kinit admin [root@client ~]# ipa service-add nfs/ipaclient.example.com@EXAMPLE
注記これは、ipa コマンドを使用できるように、ipa-admintools パッケージがインストールされているマシンから実行する必要があります。 - IdM サーバーで、NFS サービスプリンシパルの keytab を取得します。
[root@client ~]# ipa-getkeytab -s server.example.com -p nfs/ipaclient.example.com@EXAMPLE -k /tmp/krb5.keytab
- IdM サーバーから IdM クライアントに keytab をコピーします。たとえば、以下のようになります。
[root@client ~]# scp /tmp/krb5.keytab root@client.example.com:/etc/krb5.keytab
- NFS サーバーで
/etc/exportsファイルを設定します。/ipashare gss/krb5p(rw,no_root_squash,subtree_check,fsid=0)
- マウントポイントを作成します。
[root@client ~]# mkdir /mnt/ipashare
- クライアントで NFS 共有をマウントします。
-o sec設定は、NFS サーバーの/etc/exportsファイルで使用する設定と同じものを使用します。[root@client ~]# mount -v -t nfs4 -o sec=krb5p nfs.example.com:/ /mnt/ipashare
