Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. IdM サーバーのインストール: はじめに

注記

以下のインストールの手順および例は相互排他的ではなく、組み合わせて、求める結果を得ることができます。たとえば、統合 DNS のあるサーバーを外部にホストされた root CA とともにインストールすることが可能です。
ipa-server-install で IdM のインストールと設定を行います。
サーバーのインストール前に、以下のセクションを参照してください。
ipa-server-install ユーティリティーでは非対話式のインストールモードが提供され、これを使用することで自動かつ無人のサーバー設定が可能になります。詳細は、「非対話式でのサーバーのインストール」 を参照してください。
ipa-server-install は、ログファイルを /var/log/ipaserver-install.log に作成します。インストールが失敗した場合は、このログファイルが問題の特定に役立ちます。

2.3.1. 統合 DNS 使用の判断

IdM は、統合 DNS ありまたはなしの両方のサーバーのインストールをサポートしています。
統合 DNS サービスのある IdM サーバー
IdM が提供する統合 DNS サーバーは、汎用目的の DNS サーバーとして使用する設計にはなっていません。IdM デプロイメントとメンテナンスに関連する機能のみをサポートしています。高度な DNS 機能のいくつかはサポートされていません。
Red Hat では、IdM デプロイメント内で基本的な IdM-統合 DNS の使用を強く推奨しています。IdM サーバーが DNS も管理する場合は、DNS とネイティブの IdM ツールは緊密に統合され、DNS レコード管理の一部の自動化が可能になります。
IdM サーバーがマスター DNS サーバーとして使用される場合でも、他の外部の DNS サーバーはスレーブサーバーとして使用することが可能であることに留意してください。
たとえば、Active Directory 統合 DNS サーバーのような別の DNS サーバーを自分の環境で既に使用している場合、IdM 統合 DNS に委任できるのは IdM プライマリードメインのみになります。DNS ゾーンを IdM 統合 DNS に移行する必要はありません。
統合 DNS のあるサーバーをインストールする方法については、「統合 DNS のあるサーバーのインストール」 を参照してください。
統合 DNS サービスのない IdM サーバー
DNS サービスの提供に外部の DNS サーバーが使用されます。以下の場合は、DNS なしで IdM サーバーをインストールすることを検討してください。
  • IdM DNS のスコープ外となる高度な DNS 機能を必要とする場合。
  • 外部の DNS サーバーが使用可能となっている確立された DNS インフラストラクチャーがある環境。
統合 DNS のないサーバーをインストールする方法については、「統合 DNS のなしでのサーバーのインストール」 を参照してください。

重要

「ホスト名および DNS の設定」 に記載の DNS 要件をシステムが満たしていることを確認してください。

統合または外部 DNS のメンテナンス要件

統合 DNS サーバーを使用する場合は、ほとんどの DNS レコードのメンテナンスは自動で行われます。必要なのは以下の点のみになります。
  • 親ドメインから IdM サーバーへの適切な委任の設定
    たとえば、IdM ドメイン名が ipa.example.com だったとすると、example.com ドメインからの適切な委任が必要になります。

    注記

    以下のコマンドを使用すると委任を確認できます。
    # dig @IP_address +norecurse +short ipa.example.com. NS
    IP_address は、example.com DNS ドメインを管理するサーバーの IP アドレスです。委任が適切であれば、このコマンドにより DNS サーバーがインストール済みの IdM サーバーが一覧表示されます。
外部 DNS サーバーを使用する場合は、以下の点が必須になります。
  • DNS サーバー上に新規ドメインを手動で作成する。
  • 新規ドメインを、IdM インストーラーで生成されたゾーンファイルからのレコードで手動で満たす。
  • Active Directory の信頼設定後などのサービス設定の変更後や、レプリカのインストールもしくは削除後にレコードを手動で更新する。

DNS アンプ攻撃の回避

IdM-統合 DNS サーバーのデフォルト設定では、全クライアントが DNS サーバーに再帰クエリーを発行することが可能になります。サーバーが信頼されないクライアントのあるネットワークにデプロイされている場合は、再帰を承認済みクライアントのみに制限するようにサーバーの設定を変更してください。[1]
承認クライアントのみが再帰クエリーを発行できるようにするには、適切なアクセス制御リスト (ACL) ステートメントをサーバー上の /etc/named.conf ファイルに追加します。例を示します。
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
  allow-query { any; };
  allow-recursion { authorized; };
};

2.3.2. CA 設定の決定

IdM は、統合 IdM証明局 (CA) あり、または CA なしでのサーバーのインストールをサポートしています。
統合 IdM CA のあるサーバー
これはほとんどのデプロイメントに適切なデフォルトの設定です。Certificate System は CA 署名証明書 を使用して IdM ドメイン内の証明書を作成し、これに署名します。

警告

Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。
CA 署名証明書は、CA 階層の中で最高位の CA である root CA で署名される必要があります。root CA は IdM CA 自体であったり、外部でホストされている CA である場合もあります。
IdM CA を root CA とする
これがデフォルト設定になります。
この設定でサーバーをインストールする方法については、「統合 DNS のあるサーバーのインストール」「統合 DNS のなしでのサーバーのインストール」 を参照してください。
外部 CA を root CA とする
IdM CA は外部 CA の下位となります。ただし、IdM ドメインの証明書はすべて、Certificate System インスタンスが発行します。
外部 CA は、企業 CA や、Verisign や Thawte などのサードパーティー CA とすることができます。IdM ドメイン内で発行される証明書は、有効期間など外部 root CA の属性が設定する制限の影響を受ける可能性があります。
外部にホストされている root CA のあるサーバーをインストールする方法については、「外部 CA を Root CA としてサーバーをインストールする手順」 を参照してください。
CA なしのサーバー
この設定オプションは、インフラストラクチャー内の制限により証明書サービスのあるサーバーをインストールできない場合に適しています。
インストール前に以下の証明書をサードパーティー機関にリクエストする必要があります。
  • LDAP サーバー証明書および秘密キー
  • Apache サーバー証明書および秘密キー
  • LDAP および Apache サーバー証明書を発行した CA の完全な CA 証明書チェーン
統合 IdM CA なしで証明書を管理しようとすると、多大なメンテナンス負担になります。たとえば、
  • 証明書の作成、アップロード、更新プロセスが手動になります。
  • 証明書の追跡に certmonger サービスが使用されません。このため、証明書の有効期限が迫っても警告が出されません。
統合 CA のないサーバーをインストールする方法については、「CA なしでのインストール」 を参照してください。

2.3.3. 統合 DNS のあるサーバーのインストール

注記

どの DNS または CA 設定がご使用の環境に適切か分からない場合は、「統合 DNS 使用の判断」「CA 設定の決定」 を参照してください。
統合 DNS のあるサーバーをインストールするには、インストールプロセス中に以下の情報を提供する必要があります。
DNS フォワーダー
以下の DNS フォワーダー設定がサポートされています。
  • 1 つ以上のフォワーダー (非対話式インストールでの --forwarder オプション)
  • フォワーダーなし (非対話式インストールでの --no-forwarders オプション)
ご自分のユースケースに DNS フォワーダーを使用するべきかどうかを判断するには、「DNS 転送の管理」 を参照してください。
逆引き DNS ゾーン
以下の DNS ゾーン設定がサポートされています。
  • IdM DNS 内で作成する必要のある逆引きゾーンの自動検出 (対話式インストールでのデフォルト設定、非対話式インストールでの --auto-reverse オプション)
  • 逆引きゾーンを自動検出しない (対話式インストールでの --no-reverse オプション)
非対話式インストールでは、--setup-dns オプションも追加してください。

例2.1 統合 DNS のあるサーバーのインストール

この手順では、以下のサーバーをインストールします。
  • 統合 DNS のあるサーバー
  • IdM CA を root CA とするサーバー。これがデフォルトの CA 設定です。
  1. ipa-server-install ユーティリティーを実行します。
    # ipa-server-install
  2. このスクリプトは統合 DNS サービスを設定するよう要求するので、yes と入力します。
    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. さらにいくつかの設定プロンプトが出ます。
    • 括弧内のデフォルト値を許可するには、Enter を押します。
    • デフォルト値とは別の値を使用する場合は、必要な値を入力します。
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:

    警告

    Red Hat では、Kerberos レルム名をプライマリー DNS ドメイン名をすべて大文字にしたものにすることを強く推奨しています。たとえば、プライマリー DNS ドメインが ipa.example.com の場合、Kerberos レルム名は IPA.EXAMPLE.COM とします。
    異なる命名規則を使用すると Active Directory 信頼が使用できなくなるほか、その他のマイナス面が発生する可能性があります。
  4. Directory Server スーパーユーザー、cn=Directory Manager、および admin IdM システムユーザーアカウントのパスワードを入力します。
    Directory Manager password:
    IPA admin password:
  5. DNS フォワーダー設定のプロンプトが出されます。
    Do you want to configure DNS forwarders? [yes]:
    • DNS フォワーダーを設定する場合は、yes を入力してコマンドラインの指示に従います。
      インストールプロセスでフォワーダー IP アドレスがインストールされる IdM サーバーの /etc/named.conf ファイルに追加されます。
      • 転送ポリシーのデフォルト設定については、ipa-dns-install(1) man ページの --forward-policy の記述を参照してください。
      • 詳細は、「転送ポリシー」も参照してください。
    • DNS 転送を使用しない場合は、no と入力します。
  6. サーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するプロンプトが出されます。
    Do you want to search for missing reverse zones? [yes]:
    検索を実行して逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかを聞かれます。
    Do you want to create reverse zone for IP 192.0.2.1 [yes]: 
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]: 
    Using reverse zone(s) 2.0.192.in-addr.arpa.

    注記

    逆引きゾーンの管理に IdM を使用することはオプションです。外部 DNS サービスを使用することもできます。
  7. サーバー設定をする場合は、yes と入力します。
    Continue to configure the system with these values? [no]: yes
  8. これでインストールスクリプトがサーバーを設定します。動作が完了するまで待機します。
  9. 親ドメインからのDNS 委任を IdM DNS ドメインに追加します。たとえば、IdM DNS ドメインが ipa.example.com の場合、ネームサーバー (NS) レコードを example.com の親ドメインに追加します。

    重要

    IdM DNS サーバーがインストールされるたびに毎回このステップを繰り返す必要があります。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートを解放することを提案します。IdM ポートの要件およびこれらのポートを解放する方法に関する情報は、「ポート要件」を参照してください。
以下の手順で新規サーバーをテストします。
  1. admin の認証情報を使って Kerberos レルムに認証を行います。これで admin が適切に設定され、Kerberos レルムがアクセス可能であることを確認します。
    # kinit admin
  2. ipa user-find のようなコマンドを実行します。新規サーバーでは、このコマンドは唯一の設定済みユーザーである admin をプリントします。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.4. 統合 DNS のなしでのサーバーのインストール

注記

どの DNS または CA 設定がご使用の環境に適切か分からない場合は、「統合 DNS 使用の判断」「CA 設定の決定」 を参照してください。
統合 DNS のないサーバーをインストールするには、DNS 関連のオプションなしで ipa-server-install ユーティリティーを実行します。

例2.2 統合 DNS のなしでのサーバーのインストール

この手順では、以下のサーバーをインストールします。
  • 統合 DNS のないサーバー
  • IdM CA を root CA とするサーバー。これがデフォルトの CA 設定です。
  1. ipa-server-install ユーティリティーを実行します。
    # ipa-server-install
  2. このスクリプトは統合 DNS サービスを設定するよう要求するので、Enter を押してデフォルトの no オプションを選択します。
    Do you want to configure integrated DNS (BIND)? [no]:
  3. さらにいくつかの設定プロンプトが出ます。
    • 括弧内のデフォルト値を許可するには、Enter を押します。
    • デフォルト値とは別の値を使用する場合は、必要な値を入力します。
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:

    警告

    Red Hat では、Kerberos レルム名をプライマリー DNS ドメイン名をすべて大文字にしたものにすることを強く推奨しています。たとえば、プライマリー DNS ドメインが ipa.example.com の場合、Kerberos レルム名は IPA.EXAMPLE.COM とします。
    異なる命名規則を使用すると Active Directory 信頼が使用できなくなるほか、その他のマイナス面が発生する可能性があります。
  4. Directory Server スーパーユーザー、cn=Directory Manager、および admin IdM システムユーザーアカウントのパスワードを入力します。
    Directory Manager password:
    IPA admin password:
  5. サーバー設定をする場合は、yes と入力します。
    Continue to configure the system with these values? [no]: yes
  6. これでインストールスクリプトがサーバーを設定します。動作が完了するまで待機します。
  7. 以下の出力例のように、インストールスクリプトでは DNS リソースレコードが含まれるファイルが (/tmp/ipa.system.records.UFRPto.db) が作成されます。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションにより異なります。
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...

    重要

    既存の DNS サーバーに DNS レコードを追加した時点で、サーバーのインストールは完了します。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートを解放することを提案します。IdM ポートの要件およびこれらのポートを解放する方法に関する情報は、「ポート要件」を参照してください。
以下の手順で新規サーバーをテストします。
  1. admin の認証情報を使って Kerberos レルムに認証を行います。これで admin が適切に設定され、Kerberos レルムがアクセス可能であることを確認します。
    # kinit admin
  2. ipa user-find のようなコマンドを実行します。新規サーバーでは、このコマンドは唯一の設定済みユーザーである admin をプリントします。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.5. 外部 CA を Root CA としてサーバーをインストールする手順

注記

どの DNS または CA 設定がご使用の環境に適切か分からない場合は、「統合 DNS 使用の判断」「CA 設定の決定」 を参照してください。
サーバーをインストールして、root CA として外部 CA とそのサーバーをつなぐには、ipa-server-install ユーティリティーで以下のオプションを渡します。
  • --external-ca で外部 CA を使用することを指定します。
  • --external-ca-type では、外部 CA のタイプを指定します。詳細については、ipa-server-install(1) man ページを参照してください。
この他については、インストール手順のほとんどは 「統合 DNS のあるサーバーのインストール」 または 「統合 DNS のなしでのサーバーのインストール」 の場合と同じになります。
Certificate System インスタンスの設定中、このユーティリティーは証明書署名要求 (CSR) の位置を出力します: /root/ipa.csr:
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
これが発生したら、以下を実行します。
  1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスによって異なります。

    重要

    場合によっては、証明書に適切な拡張子を要求する必要がある場合もあります。Identity Management サーバー用に生成された CA 署名証明書は、有効な CA 証明書である必要があります。つまり、Basic Constraint が CA=true と設定されているか、Key Usage Extension が署名証明書に設定されて、証明書の署名が可能となっている必要があります。
  2. 発行された証明書と Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行するための CA 証明書チェーンを取得します。プロセスは証明書サービスによって異なりますが、通常はウェブページか通知メールにダウンロードリンクがあり、管理者が必要な証明書すべてをダウンロードできるようになっています。

    重要

    CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
  3. ipa-server-install を再度実行し、新規に発行された CA 証明書と CA チェーンファイルの場所と名前を指定します。例を示します。
    # ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem

注記

ipa-server-install --external-ca コマンドは、以下のエラーが出て失敗する場合があります。
ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed
これは *_proxy 環境変数が設定されている場合に発生します。この問題の解決策については、「外部 CA インストールの失敗」 を参照してください。

2.3.6. CA なしでのインストール

注記

どの DNS または CA 設定がご使用の環境に適切か分からない場合は、「統合 DNS 使用の判断」「CA 設定の決定」 を参照してください。
CA なしでサーバーをインストールするには、オプションを ipa-server-install ユーティリティーに追加することで必要な証明書を手動で提供する必要があります。この他については、インストール手順のほとんどは 「統合 DNS のあるサーバーのインストール」 または 「統合 DNS のなしでのサーバーのインストール」 の場合と同じになります。

重要

サードパーティーの自己署名サーバー証明書を使用して、サーバーまたはレプリカをインストールできまん。
LDAP サーバー証明書および秘密キーを提供するには、以下のオプションを使用します。
  • --dirsrv-cert-file は、LDAP サーバー証明書用の証明書ファイルおよび秘密キーファイルを提供します。
  • --dirsrv-pin では、--dirsrv-cert-file で指定されたファイル内の秘密キーにアクセスするためのパスワードを提供します。
Apache サーバー証明書および秘密鍵を提供するには、以下のオプションを使用します。
  • --http-cert-file では、Apache サーバー証明書用の証明書ファイルおよび秘密鍵ファイルを提供します。
  • --http-pin では、--http-cert-file で指定されたファイル内の秘密鍵にアクセスするためのパスワードを提供します。
LDAP および Apache サーバー証明書を発行した CA の完全な CA 証明書チェーンを提供するには、以下のオプションを使用します。
  • --dirsrv-cert-file および --http-cert-file で、完全な CA 証明書チェーンもしくはその一部を備えた証明書ファイルを提供します。
    これらのオプションは複数回使用することができ、以下を受け付けます。
    • PEM エンコード化および DER エンコード化された X.509 証明書ファイル
    • PKCS#1 および PKCS#8 秘密鍵ファイル
    • PKCS#7 証明書チェーンファイル
    • PKCS#12 ファイル
    --dirsrv-cert-file--http-cert-file を使用して提供されるファイルには、厳密に 1 つのサーバー証明書と 1 つの秘密キーが含まれている必要があります。--dirsrv-cert-file--http-cert-file を使用して提供されるファイルのコンテンツは同一であることがよくあります。
  • 必要に応じて --ca-cert-file を証明書ファイルに追加し、完全な CA 証明書チェーンを完成させます。
    このオプションは複数回使用することができ、以下を受け付けます。
    • PEM エンコード化および DER エンコード化された X.509 証明書ファイル
    • PKCS#7 証明書チェーンファイル
    --ca-cert-file で提供されるファイルと組み合わせて、--dirsrv-cert-file--http-cert-file で提供されるファイルには、LDAP および Apache サーバー証明書を発行した CA の完全 CA 証明書チェーンが含まれる必要があります。
以下に例を示します。
[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt
このセクションのコマンドラインオプションは、--external-ca オプションと互換性がないことに注意してください。

注記

Identity Management の以前のバージョンでは、--root-ca-file オプションを使って root CA 証明書の PEM ファイルを指定していました。信頼できる CA は常に DS および HTTP サーバー証明書の発行者なので、これはもう不要になりました。今では IdM は、--dirsrv-cert-file--http-cert-file、および --ca-cert-file で指定される証明書からの root CA 証明書を自動的に認識します。

2.3.7. 非対話式でのサーバーのインストール

注記

どの DNS または CA 設定がご使用の環境に適切か分からない場合は、「統合 DNS 使用の判断」「CA 設定の決定」 を参照してください。
非対話式でのインストールで最小限必要となるオプションは以下の通りです。
  • --ds-password では、Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
  • --admin-password では、IdM 管理者である admin のパスワードを指定します。
  • --realm では、Kerberos レルム名を指定します。
  • --unattended を使用すると、インストールプロセスでホスト名とドメイン名のデフォルトオプションを選択することができます。
    任意で、以下の設定でカスタム値を指定できます。
    • --hostname でサーバーのホスト名を指定します。
    • --domain でドメイン名を指定します。

警告

Red Hat では、Kerberos レルム名をプライマリー DNS ドメイン名をすべて大文字にしたものにすることを強く推奨しています。たとえば、プライマリー DNS ドメインが ipa.example.com の場合、Kerberos レルム名は IPA.EXAMPLE.COM とします。
異なる命名規則を使用すると Active Directory 信頼が使用できなくなるほか、その他のマイナス面が発生する可能性があります。
ipa-server-install が受け取るオプションの完全なリストを表示するには、ipa-server-install --help コマンドを実行してください。

例2.3 非対話式の基本的なインストール

  1. ipa-server-install ユーティリティーを実行して、必要な設定を指定します。たとえば、以下では統合 DNS がなく統合 CA のあるサーバーがインストールされます。
    # ipa-server-install --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  2. これで設定スクリプトがサーバーを設定します。動作が完了するまで待機します。
  3. 以下の出力例のように、インストールスクリプトでは DNS リソースレコードが含まれるファイルが (/tmp/ipa.system.records.UFRPto.db) が作成されます。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションにより異なります。
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...

    重要

    既存の DNS サーバーに DNS レコードを追加した時点で、サーバーのインストールは完了します。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートを解放することを提案します。IdM ポートの要件およびこれらのポートを解放する方法に関する情報は、「ポート要件」を参照してください。
以下の手順で新規サーバーをテストします。
  1. admin の認証情報を使って Kerberos レルムに認証を行います。これで admin が適切に設定され、Kerberos レルムがアクセス可能であることを確認します。
    # kinit admin
  2. ipa user-find のようなコマンドを実行します。新規サーバーでは、このコマンドは唯一の設定済みユーザーである admin をプリントします。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------


[1] 詳細は DNS Amplification Attacks ページを参照してください。