3.3. クライアントのインストール

ipa-client-install ユーティリティーは、IdM クライアントをインストール、設定します。インストールプロセスでは、クライアントの登録に使用可能な認証情報を指定する必要があります。以下の認証方法がサポートされています。
admin などクライアントの登録を許可するユーザーの認証情報
デフォルトでは ipa-client-install はこのオプションを使用することが想定されています。例については「クライアントの対話型インストール」を参照してください。
ipa-client-install に直接ユーザーの認証情報をわたすには、--principal--password のオプションを使用します。
サーバー上で無作為に事前に生成されるワンタイムパスワード
この認証方法を使用するには、--random オプションを ipa-client-install コマンドに追加します。詳細は例3.1「無作為のパスワードを使用して非対話式にクライアントをインストールする手順」を参照してください。
以前の登録からのプリンシパル
この認証方法を使用するには --keytab オプションを ipa-client-install に追加します。詳細は「クライアントの IdM ドメインへの再登録」を参照してください。
詳しい情報は、ipa-client-install(1) の man ページを参照してください。
以下のセクションでは、基本的なインストールのシナリオについてまとめています。ipa-client-install の使用や対応オプションの完全一覧については ipa-client-install(1) の man ページを参照してください。

3.3.1. クライアントの対話型インストール

以下の手順では、必要に応じてユーザーに入力を求めながらクライアントをインストールします。ユーザーは、admin など、ドメインへのクライアントの登録が許可されているユーザーの認証情報を指定します。
  1. ipa-client-install ユーティリティーを実行します。
    以下のいずれかが当てはまる場合、--enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
    • クライアントを登録する IdM サーバーが、統合 DNS とインストールされている場合。
    • ネットワーク上の DNS サーバーが、 GSS-TSIG プロトコルによる DNS エントリー更新を受け付ける場合。
    --no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードを保存できないようにします。
  2. このインストールスクリプトでは、必要な設定を自動的に取得するように試みます。
    1. DNS ゾーンおよび SRV レコードがシステム上で正しく設定されている場合には、スクリプトは自動的に必要な値がすべて検出され、出力されます。yes と入力して確定します。
      Client hostname: client.example.com
      Realm: EXAMPLE.COM
      DNS Domain: example.com
      IPA Server: server.example.com
      BaseDN: dc=example,dc=com
      
      Continue to configure the system with these values? [no]: yes
      別の値でシステムをインストールするには現在のインストールをキャンセルし、ipa-client-install をもう一度実行して、コマンドラインオプションを使用して必要な値を指定します。
      詳細は、ipa-client-install(1) の man ページの DNS Autodiscovery セクションを参照してください。
    2. スクリプトで自動的に設定が取得されなかった場合には、値を入力するようにプロンプトが表示されます。

      重要

      完全修飾ドメイン名は有効な DNS 名である必要があります。つまり、許可されるのは数字、アルファベット、ハイフン (-) のみです。ホスト名にアンダースコアのような他の文字があると、DNS エラーが発生します。また、ホスト名はすべて小文字を使用する必要があり、大文字は使用できません。
      命名プラクティスに関する他の推奨事項については、Red Hat Enterprise Linux セキュリティーガイド を参照してください。
  3. このスクリプトは、クライアントの登録に使用するユーザー ID の入力を求めるプロンプトを表示します。デフォルトでは、このユーザーは admin です。
    User authorized to enroll computers: admin
    Password for admin@EXAMPLE.COM
  4. インストールスクリプトでクライアントが設定されます。動作が完了するまで待機します。
    Client configuration complete.
  5. ipa-client-automount ユーティリティーを実行します。これで NFS が IdM 向けに自動的に設定されます。詳細は、「NFS の自動設定」 を参照してください。

3.3.2. 非対話式なクライアントのインストール

非対話式のインストールの場合には、コマンドラインオプションを使用して ipa-client-install ユーティリティーに必要な情報すべて渡します。非対話式のインストールで最小限必要となるオプションは以下のとおりです。
  • クライアントの登録に使用する認証情報を指定するオプション。詳細は「クライアントのインストール」を参照してください。
  • --unattended: ユーザーの確認なしにインストールを実行します。
DNS ゾーンおよび SRV レコードがシステム上で正しく設定されている場合には、スクリプトは自動的に必要な値をすべて検出します。スクリプトが自動的に値を検出できない場合には、コマンドラインオプションを使用して指定してください。
  • --hostname: クライアントマシンの静的ホスト名を指定します。

    重要

    完全修飾ドメイン名は有効な DNS 名である必要があります。つまり、許可されるのは数字、アルファベット、ハイフン (-) のみです。ホスト名にアンダースコアのような他の文字があると、DNS エラーが発生します。また、ホスト名はすべて小文字を使用する必要があり、大文字は使用できません。
    命名プラクティスに関する他の推奨事項については、Red Hat Enterprise Linux セキュリティーガイド を参照してください。
  • --server: クライアントの登録先の IdM サーバーのホスト名を指定します。
  • --domain: クライアントの登録先の IdM サーバーの DNS ドメイン名を指定します。
  • --realm: Kerberos レルム名を指定します。
以下のいずれかが当てはまる場合、--enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
  • クライアントを登録する IdM サーバーが、統合 DNS とインストールされている場合。
  • ネットワーク上の DNS サーバーが、 GSS-TSIG プロトコルによる DNS エントリー更新を受け付ける場合。
--no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードを保存できないようにします。
ipa-client-install で対応のオプションに関する完全一覧は、ipa-client-install(1) の man ページを参照してください。

例3.1 無作為のパスワードを使用して非対話式にクライアントをインストールする手順

以下の手順では、ユーザーに入力を促さずにクライアントをインストールします。このプロセスでは、サーバーで無作為に生成されたワンタイムパスワードが含まれており、このパスワードを登録の認証に使用します。
  1. 既存のサーバー上で:
    1. 管理者としてログインします。
      $ kinit admin
    2. IdM ホストとして新規マシンを追加します。--random オプションを指定して ipa host-add コマンドを使用して、無作為のパスワードを生成します。
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      生成パスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録が完了すると正しいホストの keytab に置き換えられます。
  2. クライアントをインストールするマシンで、ipa-client-install を実行します。以下のオプションを使用します。
    • --password: ipa host-add 出力からの無索引パスワードを使用します。

      注記

      パスワードには特殊文字が含まれることが多いので、一重引用符 (') で括るようにしてください。
    • --unattended: ユーザーの確認なしにインストールを実行します。
    DNS ゾーンおよび SRV レコードがシステム上で正しく設定されている場合には、スクリプトは自動的に必要な値をすべて検出します。スクリプトが自動的に値を検出できない場合には、コマンドラインオプションを使用して指定してください。
    例を示します。
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. ipa-client-automount ユーティリティーを実行します。これで NFS が IdM 向けに自動的に設定されます。詳細は、「NFS の自動設定」 を参照してください。