Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.3. クライアントのインストール:

ipa-client-install ユーティリティーは、IdM クライアントをインストールし、設定します。インストールプロセスには、クライアントの登録に使用できる認証情報を指定する必要があります。以下の認証方法が、サポートの対象となります。
クライアントを登録する権限のあるユーザーの認証情報 (例: admin)
デフォルトでは、ipa-client-install にはこのオプションが必要です。例は、「クライアントの対話型インストール」 を参照してください。
ユーザーの認証情報を直接 ipa-client-install に指定するには、--principal オプションおよび --password オプションを使用します。
サーバーで無作為に事前生成されるワンタイムパスワード
この認証方法を使用するには、--random オプションを ipa-client-install オプションに追加します。例3.1「無作為のパスワードを使用したクライアントの非対話型インストール」を参照してください。
前回登録時のプリンシパル
この認証方法を使用するには、--keytab オプションを ipa-client-install に追加します。詳細は「クライアントの IdM ドメインへの再登録」を参照してください。
詳細は ipa-client-install(1) の man ページを参照してください。
以下のセクションでは、基本的なインストールシナリオを説明します。ipa-client-install の使用と、許可されるオプションの完全なリストの詳細は、ipa-client-install(1) man ページを参照してください。

3.3.1. クライアントの対話型インストール

以下の手順では、クライアントをインストールしますが、必要に応じてユーザー入力が求められます。ユーザーは、クライアントをドメインに登録する権限のあるユーザーの認証情報 (admin ユーザーなど) を提供します。
  1. ipa-client-install ユーティリティーを実行します。
    以下のいずれかに該当する場合は --enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
    • クライアントを登録する IdM サーバーが、統合 DNS とともにインストールされた場合。
    • ネットワーク上の DNS サーバーが、GSS-TSIG プロトコルを用いた DNS エントリー更新を受け入れる場合。
    --no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードの保存を無効にします。
  2. インストールスクリプトは、すべての必要な設定を自動的に取得しようとします。
    1. お使いのシステムで DNS ゾーンと SRV レコードが正しく設定されていれば、スクリプトは必要な値をすべて自動的に検出して出力します。yes を入力して確定します。 
      Client hostname: client.example.com
Realm: EXAMPLE.COM
DNS Domain: example.com
IPA Server: server.example.com
BaseDN: dc=example,dc=com

Continue to configure the system with these values? [no]: yes
      別の値を使用してシステムをインストールする場合は、現在のインストールをキャンセルします。その後、ipa-client-install を再度実行し、コマンドラインオプションを使用して必要な値を指定します。
      詳細は、ipa-client-install(1) man ページの DNS Autodiscovery セクションを参照してください。
    2. スクリプトが一部の設定を自動的に取得できなかった場合は、値を入力するように求められます。
      重要
      .company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で設定する必要があります。
      完全修飾ドメイン名は、以下の条件を満たす必要があります。
      • 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
      • すべてが小文字である。大文字は使用できません。
      • 完全修飾ドメイン名は、ループバックアドレスを解決できません。127.0.0.1 ではなく、マシンの公開 IP アドレスを解決する必要があります。
      その他の推奨命名プラクティスは『Red Hat Enterprise Linux Security Guide』のRecommended Naming Practicesを参照してください。
  3. スクリプトにより、アイデンティティーがクライアントの登録に使用されるユーザーの入力が求められます。デフォルトでは、これは admin ユーザーです。 
    User authorized to enroll computers: admin
Password for admin@EXAMPLE.COM
  4. インストールスクリプトにより、クライアントが設定されます。動作が完了するまで待ちます。 
    Client configuration complete.
  5. ipa-client-automount ユーティリティーを実行します。このユーティリティーは、IdM に NFS を自動的に設定します。詳細は「NFS の自動設定」を参照してください。

3.3.2. クライアントの非対話型インストール

非対話的なインストールでは、コマンドラインオプションを使用して、ipa-client-install ユーティリティーに必要な情報をすべて指定します。非対話型インストールで最低限必要なオプションは次のとおりです。
  • クライアントの登録に使用される認証情報を指定するオプション。詳細は 「クライアントのインストール:」 を参照してください。
  • --unattended - ユーザー確認を必要とせずにインストールを実行できるようにします。
お使いのシステムで DNS ゾーンと SRV レコードが正しく設定されていれば、スクリプトは他に必要となる値をすべて自動的に検出します。スクリプトが自動的に値を検出できない場合は、コマンドラインオプションを使用して指定します。
  • --hostname - クライアントマシンの静的ホスト名を指定します。
    重要
    .company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で設定する必要があります。
    完全修飾ドメイン名は、以下の条件を満たす必要があります。
    • 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
    • すべてが小文字である。大文字は使用できません。
    • 完全修飾ドメイン名は、ループバックアドレスを解決できません。127.0.0.1 ではなく、マシンの公開 IP アドレスを解決する必要があります。
    その他の推奨命名プラクティスは『Red Hat Enterprise Linux Security Guide』のRecommended Naming Practicesを参照してください。
  • --server - クライアントが登録される IdM サーバーのホスト名を指定します。
  • --domain - クライアントが登録される IdM サーバーの DNS ドメイン名を指定します。
  • --realm - Kerberos レルム名を指定します。
以下のいずれかに該当する場合は --enable-dns-updates オプションを追加して、クライアントマシンの IP アドレスで DNS レコードを更新します。
  • クライアントを登録する IdM サーバーが、統合 DNS とともにインストールされた場合。
  • ネットワーク上の DNS サーバーが、GSS-TSIG プロトコルを用いた DNS エントリー更新を受け入れる場合。
--no-krb5-offline-passwords オプションを追加して、SSSD キャッシュに Kerberos パスワードの保存を無効にします。
ipa-client-install により許可されるオプションの完全リストは、ipa-client-install(1) の man ページを参照してください。

例3.1 無作為のパスワードを使用したクライアントの非対話型インストール

この手順では、ユーザーに入力を要求せずにクライアントをインストールします。このプロセスでは、サーバー上で無作為に、登録の認証に使用するワンタイムパスワードを事前生成します。
  1. 既存のサーバーの場合:
    1. 管理者としてログインします。 
      $ kinit admin
    2. 新しいマシンを IdM ホストとして追加します。ipa host-add コマンドに --random オプションを使用して、無作為にパスワードを生成します。 
      $ ipa host-add client.example.com --random
--------------------------------------------------
Added host "client.example.com"
--------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
      生成されたパスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録の完了後、このパスワードは適切なホストキータブに置き換えられます。
  2. クライアントをインストールするマシンで、ipa-client-install を実行し、以下のオプションを使用します。
    • --password - ipa host-add の出力の無作為なパスワード
      注記
      このパスワードには通常、特殊文字が含まれています。そのため、特殊文字は一重引用符 (') で囲みます。
    • --unattended - ユーザー確認を必要とせずにインストールを実行できるようにします。
    お使いのシステムで DNS ゾーンと SRV レコードが正しく設定されていれば、スクリプトは他に必要となる値をすべて自動的に検出します。スクリプトが自動的に値を検出できない場合は、コマンドラインオプションを使用して指定します。
    以下に例を示します。 
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. ipa-client-automount ユーティリティーを実行します。このユーティリティーは、IdM に NFS を自動的に設定します。詳細は「NFS の自動設定」を参照してください。