Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. IdM サーバーのインストール: Introduction

注記
以下のセクションで、インストール手順と例は相互に排他的ではありません。これらの手順を組み合わせると、必要な結果を得ることができます。たとえば、統合 DNS のサーバーと、外部でホストされるルート CA でサーバーをインストールできます。
ipa-server-install ユーティリティーは、IdM サーバーをインストールして設定します。
サーバーをインストールする前に、以下のセクションを参照してください。
ipa-server-install ユーティリティーは、非対話型インストールモードを提供し、自動および無人サーバーの設定を可能にします。詳細はを参照してください。 「非対話的なサーバーのインストール」
ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。インストールに失敗すると、ログは問題の特定に役立ちます。

2.3.1. 統合 DNS を使用するかどうかの決定

IdM は、統合 DNS ありまたはなしの両方のサーバーのインストールをサポートしています。
統合 DNS サービスがある IdM サーバー
IdM が提供する統合 DNS サーバーは、汎用の DNS サーバーとして使用することは設計されていません。IdM のデプロイメントとメンテナンスに関連する機能のみがサポートされます。高度な DNS 機能の一部には対応していません。
Red Hat は、IdM デプロイメント内の基本的な使用のために IdM 統合を強く推奨します。IdM サーバーも DNS を管理する場合は、DNS レコード管理の一部を自動化する DNS とネイティブ IdM ツールとの間に密接な統合があります。
IdM サーバーをマスター DNS サーバーとして使用する場合でも、その他の外部 DNS サーバーはスレーブサーバーとしても使用できます。
たとえば、環境がすでに Active Directory 統合 DNS サーバーなどの別の DNS サーバーを使用している場合は、IdM のプライマリードメインのみを IdM 統合 DNS に委譲できます。DNS ゾーンの IdM 統合 DNS への移行は必要ありません。
注記
SAN(Subject Alternative Name)拡張機能の IP アドレスを使用して IdM クライアントの証明書を発行する必要がある場合は、IdM 統合 DNS サービスを使用する必要があります。
統合 DNS のあるサーバーをインストールするには、を参照してください。 「統合 DNS のあるサーバーのインストール」
統合 DNS サービスがない IdM サーバー
外部 DNS サーバーは、DNS サービスを提供するために使用されます。以下の状況では、DNS を使用せずに IdM サーバーをインストールすることを検討してください。
  • IdM DNS のスコープを超える高度な DNS 機能が必要な場合は、
  • 適切に確立された DNS インフラストラクチャーを使用する環境では、外部 DNS サーバーを使用できるようにします。
統合 DNS のないサーバーをインストールする場合は、を参照してください。 「統合 DNS を使用しないサーバーのインストール」
重要
システムが、で説明されている DNS 「ホスト名および DNS 設定」

統合 DNS または外部 DNS のメンテナンス要件

統合 DNS サーバーを使用する場合は、ほとんどの DNS レコードのメンテナンスが自動的に行われます。以下を行う必要があります。
  • 親ドメインから IdM サーバーへの正しい委譲を設定
    たとえば、IdM ドメイン名が ipa.example.com の場合、example.com ドメインから適切に委譲される必要があります。
    注記
    以下のコマンドを使用して、委譲を確認できます。
    # dig @IP_address +norecurse +short ipa.example.com. NS
    ip_address は、example.com DNS ドメインを管理するサーバーの IP アドレスです。委譲が正しい場合は、このコマンドは DNS サーバーがインストールされている IdM サーバーの一覧を表示します。
外部 DNS サーバーを使用する場合は、以下を行う必要があります。
  • DNS サーバー上に新規ドメインを手動で作成する。
  • IdM インストーラーで生成されるゾーンファイルのレコードを手動で入力する
  • レプリカのインストールまたはアップグレード後に、レコードを手動で更新します。また、Active Directory 信頼が設定された後など、サービス設定の変更後にレコードを手動で更新します。

DNS Amplification Attack の防止

IdM 統合 DNS サーバーのデフォルト設定により、すべてのクライアントが DNS サーバーに再帰クエリーを発行できます。サーバーが信頼できないクライアントでネットワークにデプロイされている場合は、サーバーの設定を変更して、承認されたクライアントにのみ再帰を制限します。[1]
認証されたクライアントのみが再帰クエリーを発行できるようにするには、サーバーの /etc/named.conf ファイルに適切なアクセス制御リスト(ACL)ステートメントを追加します。以下に例を示します。
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
  allow-query { any; };
  allow-recursion { authorized; };
};

2.3.2. 使用する CA 設定の決定

IdM は、統合 IdM証明局 (CA) あり、または CA なしでのサーバーのインストールをサポートしています。
統合 IdM CA のあるサーバー
これは、ほとんどのデプロイメントに適したデフォルト設定です。証明書システムは CA 署名証明書を使用して、IdM ドメインで証明書を作成して署名します
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA 「CA のあるレプリカのインストール」
CA を 1 つのサーバーにのみインストールする場合は、CA サーバーが失敗した場合に復元できない可能性なしに CA 設定が失われるリスクがあります。詳しくは 「ラost CA サーバーの復旧」、を参照してください。
IdM CA 署名証明書は、自己署名証明書とも呼ばれるルート CA であるか、外部 CA で署名できます。
IdM CA はルート CA である。
これがデフォルト設定になります。
外部 CA はルート CA です。
IdM CA は外部 CA の下位 CA です。ただし、IdM ドメインの証明書はすべて、証明書システムインスタンスにより発行されます。
外部 CA は企業 CA またはサードパーティーの CA(Verisign や Thawte など)にすることができます。外部 CA はルート CA または下位 CA です。IdM ドメイン内で発行された証明書は、有効期間、証明書を発行できるドメインなど、外部のルート CA 証明書または中間 CA 証明書によって設定される制限が適用される可能性があります。
外部でホストされるルート CA でサーバーをインストールするには、を参照してください。 「外部 CA をルート CA として使用するサーバーのインストール」
CA のないサーバー
この設定オプションは、インフラストラクチャー内の制限により証明書サービスのあるサーバーをインストールできない場合に適しています。
インストール前に以下の証明書をサードパーティー機関にリクエストする必要があります。
  • LDAP サーバー証明書および秘密鍵
  • Apache サーバー証明書および秘密鍵
  • LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン
警告
統合 IdM CA を使用せずに証明書を管理すると、大きなメンテナンスの負担が見られます。たとえば、IdM サーバーの Apache Web サーバーおよび LDAP サーバー証明書を手動で管理する必要があります。これには、以下の設定項目が含まれます。
  • 証明書の作成およびアップロード
  • 証明書の有効期限を監視します。統合 CA を使用せずに IdM をインストールした場合は、certmonger サービスは証明書を追跡しません。
  • 停止を防ぐために証明書が期限切れになる前に証明書を更新する。
統合 CA なしでサーバーをインストールする場合は、を参照してください。 「CA なしでのインストール」
注記
CA を使用せずに IdM ドメインをインストールする場合は、後で CA サービスをインストールできます。CA を既存の IdM 「既存の IdM ドメインへの CA のインストール」

2.3.3. 統合 DNS のあるサーバーのインストール

統合 DNS のあるサーバーをインストールするには、インストールプロセス時に以下の情報を指定します。
DNS フォワーダー
以下の DNS フォワーダー設定がサポートされます。
  • 1 つ以上のフォワーダー(非対話的なインストールの --forwarder オプション)
  • フォワーダーなし(非対話的なインストールの --no-forwarders オプション)
逆引き DNS ゾーン
以下の逆引き DNS ゾーン設定がサポートされます。
  • IdM DNS で作成する必要がある逆引きゾーンの自動検出(対話型インストールのデフォルト設定、非対話的なインストールの --auto-reverse オプション)
  • 逆引きゾーンの自動検出はありません(対話式インストールの --no-reverse オプション)。
--auto-reverse オプションが設定されている場合には、--allow-zone-overlap オプションが無視されることに注意してください。オプションの組み合わせを使用します。
$ ipa-server-install --auto-reverse --allow-zone-overlap
そのため、別の DNS サーバーなど、既存の DNS ゾーンと重複する逆引きゾーンは作成されません
非対話的なインストールでは、--setup-dns オプションも追加します。

例2.1 統合 DNS のあるサーバーのインストール

この手順では、以下のサーバーをインストールします。
  • 統合 DNS のあるサーバー
  • 統合 IdM CA をルート CA とするサーバー(デフォルトの CA 設定)
  1. ipa-server-install ユーティリティーを実行します。
    # ipa-server-install
  2. スクリプトにより、統合 DNS サービスの設定が求められます。yes と入力します。
    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. スクリプトは、いくつかの必要な設定を要求します。
    • 括弧内のデフォルト値を使用する場合は、Enter を押します。
    • 提案されたデフォルト値以外の値を指定するには、必要な値を入力します。
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:
    警告
    Red Hat では、Kerberos レルム名は、プライマリー DNS ドメイン名と同じで、すべて大文字になることを強く推奨します。たとえば、プライマリー DNS ドメインが ipa.example.com の場合は、Kerberos レルム名に IPA.EXAMPLE.COM を使用します。
    異なる命名プラクティスにより、Active Directory の信頼を使用することができなくなり、その他の悪影響が及ぶ可能性があります。
  4. Directory Server のスーパーユーザー、cn=Directory Manager のパスワード、および管理 IdM システムユーザーアカウントを入力します。
    Directory Manager password:
    IPA admin password:
  5. DNS フォワーダー設定のスクリプトプロンプトが表示されます。
    Do you want to configure DNS forwarders? [yes]:
    • DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。
      インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。
      • 転送ポリシーのデフォルト設定は、ipa-dns-install(1) man ページの --forward-policy の説明を参照してください。
    • DNS 転送を使用しない場合は、no と入力します。
  6. そのサーバーに関連付けられた IP アドレスの DNS 逆引き(PTR)レコードを設定する必要性を確認するスクリプトプロンプトが表示されます。
    Do you want to search for missing reverse zones? [yes]:
    検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    注記
    任意で、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。
  7. サーバー設定をする場合は、yes と入力します。
    Continue to configure the system with these values? [no]: yes
  8. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  9. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが ipa.example.com の場合は、ネームサーバー(NS)レコードを親ドメイン example.com に追加します。
    重要
    この手順は、IdM DNS サーバーをインストールするたびに繰り返す必要があります。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートが開放されていることを確認することを推奨します。IdM 「ポートの要件」
新しいサーバーをテストするには、以下を実行します。
  1. admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、admin が適切に設定され、Kerberos レルムにアクセスできることを確認します。
    # kinit admin
  2. ipa user-find などのコマンドを実行します。新規サーバーでは、このコマンドは設定済みの user: admin だけを出力します。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.4. 統合 DNS を使用しないサーバーのインストール

統合 DNS なしでサーバーをインストールするには、DNS 関連のオプションを指定せずに ipa-server-install ユーティリティーを実行します。

例2.2 統合 DNS を使用しないサーバーのインストール

この手順では、以下のサーバーをインストールします。
  • 統合 DNS のないサーバー
  • 統合 IdM CA をルート CA とするサーバー(デフォルトの CA 設定)
  1. ipa-server-install ユーティリティーを実行します。
    # ipa-server-install
  2. スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、no オプションを選択します。
    Do you want to configure integrated DNS (BIND)? [no]:
  3. スクリプトは、いくつかの必要な設定を要求します。
    • 括弧内のデフォルト値を使用する場合は、Enter を押します。
    • 提案されたデフォルト値以外の値を指定するには、必要な値を入力します。
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:
    警告
    Red Hat では、Kerberos レルム名は、プライマリー DNS ドメイン名と同じで、すべて大文字になることを強く推奨します。たとえば、プライマリー DNS ドメインが ipa.example.com の場合は、Kerberos レルム名に IPA.EXAMPLE.COM を使用します。
    異なる命名プラクティスにより、Active Directory の信頼を使用することができなくなり、その他の悪影響が及ぶ可能性があります。
  4. Directory Server のスーパーユーザー、cn=Directory Manager のパスワード、および管理 IdM システムユーザーアカウントを入力します。
    Directory Manager password:
    IPA admin password:
  5. サーバー設定を確認するには、yes と入力します。
    Continue to configure the system with these values? [no]: yes
  6. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  7. インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル( /tmp/ipa.system.records.UFRPto.db )を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
    重要
    既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートが開放されていることを確認することを推奨します。IdM 「ポートの要件」
新しいサーバーをテストするには、以下を実行します。
  1. admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、admin が適切に設定され、Kerberos レルムにアクセスできることを確認します。
    # kinit admin
  2. ipa user-find などのコマンドを実行します。新規サーバーでは、このコマンドは設定済みの user: admin だけを出力します。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.5. 外部 CA をルート CA として使用するサーバーのインストール

サーバーをインストールして、ルート CA として外部 CA とともにチェーンするには、ipa-server-install ユーティリティーを使用してこれらのオプションを渡します。
  • --external-ca は、外部 CA を使用するかどうかを指定します。
  • --external-ca-type は、外部 CA のタイプを指定します。詳細は ipa-server-install(1) の man ページを参照してください。
それ以外の場合は、インストール手順のほとんどは 「統合 DNS のあるサーバーのインストール」 または 「統合 DNS を使用しないサーバーのインストール」
Certificate System インスタンスの設定時に、このユーティリティーは証明書署名要求(CSR)の場所( /root/ipa.csr )を出力します。
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
この場合は、以下を行います。
  1. /root/ipa.csr にある CSR を外部 CA に送信します。このプロセスは、外部 CA として使用するサービスにより異なります。
    重要
    証明書の適切な拡張を要求する必要がある場合があります。Identity Management 用に生成された CA 署名証明書は、有効な CA 証明書である必要があります。これには、基本的な制約エクステンション trueCA パラメーターを設定する必要があります。詳細は、RFC 5280 の 『Basic Constraints』 セクションを参照してください。
  2. 発行した証明書と、ベース 64 でエンコードされたブロブ(PEM ファイルまたは Windows CA からの Base_64 証明書)で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。
    重要
    CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。
  3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。
    # ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
注記
ipa-server-install --external-ca コマンドは、次のエラーにより失敗する可能性があります。
ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed
この失敗は、*_proxy 環境変数が設定されていると発生します。この問題を解決するには、を参照してください。 「外部 CA インストールの失敗」

2.3.6. CA なしでのインストール

CA なしでサーバーをインストールするには、ipa-server-install ユーティリティーにオプションを追加して、必要な証明書を手動で指定する必要があります。それ以外は、ほとんどのインストール手順は 「統合 DNS のあるサーバーのインストール」 または 「統合 DNS を使用しないサーバーのインストール」
重要
自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。

CA なしで IdM サーバーをインストールするために必要な証明書

CA なしの IdM サーバーのインストールに成功すると、以下の証明書を指定する必要があります。
  • 以下のオプションを使用して指定される LDAP サーバー証明書および秘密鍵。
    • --dirsrv-cert-file - LDAP サーバー証明書の証明書および秘密鍵ファイルを提供します。
    • --dirsrv-pin - --dirsrv-cert-file で指定されたファイルにある秘密鍵にアクセスするパスワードを提供します
  • 以下のオプションを使用して提供された Apache サーバー証明書および秘密鍵。
    • --http-cert-file - Apache サーバー証明書の証明書および秘密鍵ファイルを提供します。
    • --http-pin - --http-cert-fileで指定したファイルの秘密鍵にアクセスするパスワードを提供します。
  • 以下のオプションを使用して提供される LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーン。
    • --dirsrv-cert-file および --http-cert-file - 完全な CA 証明書チェーンまたはその一部を持つ証明書ファイルを提供します。
      以下の形式の --dirsrv-cert-file オプションおよび --http-cert-file オプションで指定したファイルを指定できます。
      • PEM(Privacy-Enhanced Mail)がエンコードした証明書(RFC 7468)。IdM インストーラーは、連結した PEM エンコードされたオブジェクトを受け付けることに注意してください。
      • 識別名エンコーディングルール(DER)
      • PKCS #7 証明書チェーンオブジェクト
      • PKCS #8 秘密鍵オブジェクト
      • PKCS #12 アーカイブ
      --dirsrv-cert-file オプションおよび --http-cert-file オプションを複数回指定して、複数のファイルを指定できます。
  • 必要に応じて、このオプションを使用して提供される、完全な CA 証明書チェーンを完了する証明書ファイルです。
    • --ca-cert-file - このオプションは複数回追加できます。
  • 必要に応じて、以下のオプションを使用して提供される、外部の Kerberos 鍵配布センター(KDC)の PKINIT 証明書を提供する証明書ファイルを指定します。
    • --pkinit-cert-file - Kerberos KDC SSL 証明書および秘密鍵を提供します。
    • --pin - Kerberos KDC 秘密鍵のロックを解除するパスワードを指定します。
    PKINIT 証明書を提供しないと、ipa-server-install は自己署名証明書を使用するローカル KDC で IdM サーバーを設定します。27章IdM における Kerberos PKINIT 認証
--ca-cert-file を使用して提供されるファイルと、--dirsrv -cert-file と --http-cert-file を使用して提供されるファイルには、LDAP および Apache のサーバー証明書を発行した CA の完全な CA 証明書チェーンが含まれる必要があります。
このオプションで使用できる証明書ファイル形式に関する詳細は、ipa-server-install(1) の man ページを参照してください。
注記
一覧表示されているコマンドラインオプションは、--external-ca オプションと互換性がありません。
注記
以前のバージョンの Identity Management では、--root-ca-file オプションを使用して、ルート CA 証明書の PEM ファイルを指定していました。信頼される CA は常に DS および HTTP サーバー証明書の発行者であるため、これは不要になりました。IdM は、--dirsrv-cert-file、--http-cert-file、および --ca-cert-file で指定されている証明書からルート CA 証明書を自動的に認識するようになりました。

例2.3 CA なしで IdM サーバーをインストールするコマンドの例

[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt

2.3.7. 非対話的なサーバーのインストール

非対話型インストールで最低限必要なオプションは次のとおりです。
  • --ds-password - Directory Server のスーパーユーザーである Directory Manager(DM)のパスワードを指定します。
  • --admin-password - IdM 管理者である admin のパスワードを指定します。
  • --realm - Kerberos レルム名を指定します。
  • --unattended - インストールプロセスでホスト名とドメイン名のデフォルトオプションを選択するようにします。
    必要に応じて、以下の設定にカスタム値を指定できます。
    • --hostname for the server host name
    • --domain (ドメイン名)
警告
Red Hat では、Kerberos レルム名は、プライマリー DNS ドメイン名と同じで、すべて大文字になることを強く推奨します。たとえば、プライマリー DNS ドメインが ipa.example.com の場合は、Kerberos レルム名に IPA.EXAMPLE.COM を使用します。
異なる命名プラクティスにより、Active Directory の信頼を使用することができなくなり、その他の悪影響が及ぶ可能性があります。
ipa-server-install で使用できるオプションの完全リストを表示するには、ipa-server-install --help コマンドを実行します。

例2.4 非対話式の基本的なインストール

  1. ipa-server-install ユーティリティーを実行し、必要な設定を指定します。たとえば、以下は、統合 DNS と統合 CA のないサーバーをインストールします。
    # ipa-server-install --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  2. 設定スクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  3. インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル( /tmp/ipa.system.records.UFRPto.db )を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
    重要
    既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。
このスクリプトは、CA 証明書をバックアップし、必要なネットワークポートが開放されていることを確認することを推奨します。IdM 「ポートの要件」
新しいサーバーをテストするには、以下を実行します。
  1. admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、admin が適切に設定され、Kerberos レルムにアクセスできることを確認します。
    # kinit admin
  2. ipa user-find などのコマンドを実行します。新規サーバーでは、このコマンドは設定済みの user: admin だけを出力します。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------


[1] 詳細は、DNS Amplification Attacks ページを参照してください。