Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.3. クライアントのインストール

ipa-client-install ユーティリティーは、IdM クライアントをインストールして設定します。インストールプロセスでは、クライアントの登録に使用できる認証情報を指定する必要があります。以下の認証方法がサポートされます。
adminなどのクライアントを登録する権限のあるユーザーの認証情報
デフォルトでは、ipa-client-install はこのオプションが必要です。「アクティブなクライアントのインストール」 を参照してください。
ipa-client-install に直接ユーザーの認証情報を指定するには、--principal オプションおよび --password オプションを使用します。
サーバーで無作為に事前生成されるワンタイムパスワード
この認証方法を使用するには、--random オプションを ipa-client-install オプションに追加します。例3.1「無作為のパスワードを使用した非対話的にクライアントのインストール」
前回登録時のプリンシパル
この認証方法を使用するには、--keytab オプションを ipa-client-install に追加します。「IdM ドメインへのクライアントの再登録」
詳細は ipa-client-install(1) の man ページを参照してください。
以下のセクションでは、基本的なインストールシナリオを説明します。ipa-client-install の使用と、許可されるオプションの完全なリストは ipa-client-install(1) man ページを参照してください。

3.3.1. アクティブなクライアントのインストール

以下の手順では、必要に応じてユーザーの入力を要求する際にクライアントをインストールします。ユーザーは、admin ユーザーなど、クライアントをドメインに登録する権限を持つユーザーの認証情報を提供します。
  1. ipa-client-install ユーティリティーを実行します。
    以下のいずれかが適用される場合は、--enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
    • クライアントを登録する IdM サーバーが、統合 DNS とともにインストールされた場合。
    • ネットワーク上の DNS サーバーが、GSS-TSIG プロトコルを用いた DNS エントリー更新を受け付けます。
    --no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードの保存を無効にします。
  2. インストールスクリプトは、必要な設定をすべて自動的に取得しようとします。
    1. DNS ゾーンと SRV レコードがシステムで正しく設定され、スクリプトが自動的に必要な値を検出し、プリントします。yes を入力して確定します。 
      Client hostname: client.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: server.example.com
BaseDN: dc=example,dc=com

Continue to configure the system with these values? [no]: yes
      別の値を使用してシステムをインストールする場合は、現在のインストールを取り消します。その後、ipa-client-install を再度実行し、コマンドラインオプションを使用して必要な値を指定します。
      詳細は、ipa-client-install(1) man ページの DNS Autodiscovery セクションを参照してください。
    2. スクリプトが一部の設定を自動的に取得できなかった場合は、値を入力するように求められます。
      重要
      完全修飾ドメイン名は、数字、アルファベット文字、およびハイフン(-)のみで構成される有効な DNS 名でなければなりません。ホスト名にアンダースコアなどの他の文字が含まれていると、DNS が正常に機能しなくなります。また、ホスト名がすべて小文字である必要があり、大文字は使用できません。
      その他の推奨される命名プラクティスは、『Red Hat Enterprise Linux セキュリティーガイド』を参照してください
  3. スクリプトにより、アイデンティティーがクライアントの登録に使用されるユーザーの入力が求められます。デフォルトでは、これは admin ユーザーです。 
    User authorized to enroll computers: admin
Password for admin@EXAMPLE.COM
  4. インストールスクリプトにより、クライアントが設定されます。動作が完了するまで待ちます。 
    Client configuration complete.
  5. ipa-client-automount ユーティリティーを実行します。これは、IdM に NFS を自動的に設定します。詳しくは 「NFS の自動設定」、を参照してください。

3.3.2. クライアントの非対話的なインストール

非対話的なインストールでは、コマンドラインオプションを使用して、ipa-client-install ユーティリティーに必要な情報をすべて提供します。非対話型インストールで最低限必要なオプションは次のとおりです。
DNS ゾーンと SRV レコードがシステムで正しく設定されていれば、スクリプトはその他に必要な値をすべて自動的に検出します。スクリプトが自動的に値を検出できない場合は、コマンドラインオプションを使用して指定してください。
  • --hostname - クライアントマシンの静的ホスト名を指定します。
    重要
    完全修飾ドメイン名は、数字、アルファベット文字、およびハイフン(-)のみで構成される有効な DNS 名でなければなりません。ホスト名にアンダースコアなどの他の文字が含まれていると、DNS が正常に機能しなくなります。また、ホスト名がすべて小文字である必要があり、大文字は使用できません。
    その他の推奨される命名プラクティスは、『Red Hat Enterprise Linux セキュリティーガイド』を参照してください
  • --server - クライアントが登録される IdM サーバーのホスト名を指定します。
  • --domain - クライアントが登録される IdM サーバーの DNS ドメイン名を指定します。
  • --realm - Kerberos レルム名を指定します。
以下のいずれかが適用される場合は、--enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
  • クライアントを登録する IdM サーバーが、統合 DNS とともにインストールされた場合。
  • ネットワーク上の DNS サーバーが、GSS-TSIG プロトコルを用いた DNS エントリー更新を受け付けます。
--no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードの保存を無効にします。
ipa-client-install により許可されるオプションの完全リストは、ipa-client-install(1) の man ページを参照してください。

例3.1 無作為のパスワードを使用した非対話的にクライアントのインストール

この手順では、入力を要求せずにクライアントをインストールします。このプロセスには、登録の承認に使用されるサーバーで無作為なワンタイムパスワードを事前に化しています。
  1. 既存のサーバーの場合:
    1. 管理者としてログインします。 
      $ kinit admin
    2. 新しいマシンを IdM ホストとして追加します。ipa host-add コマンドに --random オプションを使用して、無作為にパスワードを生成します。 
      $ ipa host-add client.example.com --random
--------------------------------------------------
Added host "client.example.com"
--------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
      生成されたパスワードは、マシンを IdM ドメインに登録するために使用した後は無効になります。登録が完了すると、このパスワードは適切なホストキータブに置き換えられます。
  2. クライアントをインストールするマシンで、ipa-client-install を実行し、以下のオプションを使用します。
    • --password - ipa host-add の出力のランダムパスワード
      注記
      パスワードには特殊文字が含まれることがよくあります。そのため、これを一重引用符(')で囲みます。
    • --unattended - ユーザーの確認を必要とせずにインストールを実行できるようにする。
    DNS ゾーンと SRV レコードがシステムで正しく設定されていれば、スクリプトはその他に必要な値をすべて自動的に検出します。スクリプトが自動的に値を検出できない場合は、コマンドラインオプションを使用して指定してください。
    以下に例を示します。 
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. ipa-client-automount ユーティリティーを実行します。これは、IdM に NFS を自動的に設定します。詳しくは 「NFS の自動設定」、を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。