Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

27.3. IdM での PKINIT の設定

IdM サーバーが PKINIT を無効にした状態で実行中の場合は、以下の手順に従って有効にします。たとえば、ipa-server-install ユーティリティーまたは ipa-replica-install ユーティリティーを使用して --no-pkinit オプションを指定した場合は、PKINIT を無効にしてサーバーを実行します。

前提条件

  • 認証局(CA)がインストールされているすべての IdM サーバーが、同じドメインレベルで実行していることを確認します。詳しくは 7章ドメインレベルの表示と評価、を参照してください。

手順

  1. CA を使用せずに IdM を使用している場合は、ipa-server-certinstall ユーティリティーを使用して、外部の Kerberos キー配布センター(KDC)証明書をインストールします。KDC 証明書は以下の条件を満たす必要があります。
    • 共通名 CN=fully_qualified_domain_name、certificate_subject_base で発行されます。
    • これには、Kerberos プリンシパル krbtgt/REALM_NAME@REALM_NAME が含まれます。
    • KDC 認証のオブジェクト識別子(OID: 1.3.6.1.5.2.3.5 )が含まれます。
    # ipa-server-certinstall --kdc kdc.pem
    # systemctl restart krb5kdc.service
    詳細は ipa-server-certinstall(1) の man ページを参照してください。
  2. PKINIT を有効にします。
    $ ipa-pkinit-manage enable
    Configuring Kerberos KDC (krb5kdc)
      [1/1]: installing X509 Certificate for PKINIT
    Done configuring Kerberos KDC (krb5kdc).
    The ipa-pkinit-manage command was successful
    IdM CA を使用している場合は、コマンドが CA から PKINIT KDC 証明書を要求します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。