27.3. IdM での PKINIT の設定

お使いの IdM サーバーが PKINIT を無効化して稼働している場合は、これらを有効化する手順に従ってください。たとえば、ipa-server-install または ipa-replica-install ユーティリティーで --no-pkinit オプションを渡す場合、サーバーは PKINIT を無効化した状態で稼働しています。

前提条件

  • 証明局 (CA) をインストールしたすべてのA; サーバーが、同じドメインレベルで稼働していることを確認してください。詳しくは、7章ドメインレベルの表示と引き上げを参照してください。

手順

  1. CA なしで IdM を使用している場合、ipa-server-certinstall ユーティリティーを使用して、外部 Kerberos キー配布センター (KDC) 証明書をインストールします。KDC 証明書は以下の条件を満たす必要があります。
    • 共通の名前 CN=fully_qualified_domain_namecertificate_subject_base で発行されます。
    • これには、Kerberos のプリンシパル krbtgt/REALM_NAME@REALM_NAME が含まれます。
    • これには、KDC 認証のオブジェクト識別子 (OID): 1.3.6.1.5.2.3.5 が含まれます。
    # ipa-server-certinstall --kdc kdc.pem
    # systemctl restart krb5kdc.service
    詳しくは、ipa-server-certinstall(1) の man ページを参照してください。
  2. PKINIIT の有効化:
    $ ipa-pkinit-manage enable
    Configuring Kerberos KDC (krb5kdc)
      [1/1]: installing X509 Certificate for PKINIT
    Done configuring Kerberos KDC (krb5kdc).
    The ipa-pkinit-manage command was successful
    IdM CA を使用している場合は、このコマンドは PKINIT KDC 証明書を CA からリクエストします。
  3. 新しい PKINIT ステータスを検証するには、「現在の PKINIT 設定の表示」 を参照してください。