Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第16章 サービスの管理

ホスト上で実行されるサービスには、IdM ドメインに属するものもあります。Kerberos プリンシパルまたは SSL 証明書のいずれか (またはこれら両方) を保存できるサービスは、IdM サービスとして設定できます。IdM ドメインにサービスを追加すると、そのサービスはドメインから SSL 証明書やキータブを要求することができます。(証明書の公開鍵のみがサービスレコードに保存されます。秘密鍵はサービスのローカルになります。)
IdM ドメインは、共通の ID 情報、共通ポリシー、および共有サービスを使用して、マシン間で共通性を確立します。ドメインのクライアントとしてのドメイン機能に属するマシンです。これは、ドメインが提供するサービスを使用することを意味します。( 1章Red Hat Identity Management の概要)IdM ドメインは、マシン専用の 3 つの主なサービスを提供します。
  • DNS
  • Kerberos
  • 証明書管理

16.1. サービスエントリーおよびキータブの追加と編集

ホストエントリーの場合と同様に、ホストのサービスエントリー (およびドメインに属するホスト上のサービス) は手動で IdM ドメインに追加する必要があります。これは 2 段階のプロセスで、最初にサービスエントリーを作成し、次にそのサービスがドメインへのアクセスに使用するキータブを作成します。
デフォルトでは、Identity Management は HTTP キータブを /etc/httpd/conf/ipa.keytab に保存します。
注記
このキータブは、Web UI に使用されます。キーが ipa.keytab に保存され、そのキータブファイルを削除すると、元のキーも削除されるため、IdM Web UI は機能しなくなります。
Kerberos に対応させる必要のある各サービスに同様の場所を指定できます。特定の場所を使用する必要はありませんが、ipa-getkeytab を使用する場合は、/etc/krb5.keytab は使用しないでください。このファイルにはサービス固有のキータブを含めるべきではありません。各サービスはキータブを特定の場所に保存し、このサービスのみがキータブにアクセスできるようにアクセス権限(場合によってはその他の SELinux ルール)を設定する必要があります。

16.1.1. Web UI でのサービスとキータブの追加

  1. Identity タブを開き、Services サブタブを選択します
  2. サービス一覧の上部にある Add ボタンをクリックします。
  3. ドロップダウンメニューからサービスタイプを選択し、名前を付けます。
  4. サービスが実行される IdM ホストのホスト名を選択します。ホスト名を使用して、完全なサービスプリンシパル名を構成します。
  5. Add ボタンをクリックして、新しいサービスプリンシパルを保存します。
  6. ipa-getkeytab コマンドを使用して、サービスプリンシパルの新規キータブを生成して割り当てます。 
    [root@ipaserver ~]# # ipa-getkeytab -s ipaserver.example.com -p HTTP/server.example.com -k /etc/httpd/conf/krb5.keytab -e aes256-cts
    • レルム名はオプションです。IdM サーバーは、設定される Kerberos レルムを自動的に追加します。別のレルムは指定できません。
    • Kerberos と連携するには、ホスト名が DNS A レコードに解決する必要があります。--force フラグを使用して強制的にプリンシパルを作成することができます。
    • -e 引数には、キータブに追加する暗号化タイプの一覧を追加できます。これは、デフォルトの暗号化タイプより優先されます。エントリーの一覧は、同じコマンド呼び出しでオプションを複数回使用するか、--option={val1,val2,val3} などの中括弧内にオプションを一覧表示して設定できます。
    警告
    新規キーを作成すると、指定されたプリンシパルのシークレットがリセットされます。つまり、そのプリンシパルの他のキータブすべてが無効になります。

16.1.2. コマンドラインでのサービスとキータブの追加

  1. サービスプリンシパルを作成します。サービスは、service/FQDN などの名前で認識されます。 
    # ipa service-add serviceName/hostname
    以下に例を示します。 
    $ ipa service-add HTTP/server.example.com
-------------------------------------------------------
Added service "HTTP/server.example.com@EXAMPLE.COM"
-------------------------------------------------------
  Principal: HTTP/server.example.com@EXAMPLE.COM
  Managed by: ipaserver.example.com
  2. ipa-getkeytab コマンドを使用して、サービスキータブファイルを作成します。このコマンドは、IdM ドメイン内のクライアント上で実行します。(実際には、IdM サーバーまたはクライアント上でコマンドを実行して、キーを適切なマシンにコピーできます。ただし、サービスが作成されるマシンでコマンドを実行するのは、最も簡単な方法です。)
    このコマンドには、Kerberos サービスプリンシパル(-p)、IdM サーバー名(-s)、書き込むファイル(-k)、暗号化方法(-e)が必要です。キータブをサービスの適切なディレクトリーにコピーしてください。
    以下に例を示します。 
    # ipa-getkeytab -s server.example.com -p HTTP/server.example.com -k /etc/httpd/conf/krb5.keytab -e aes256-cts
    • レルム名はオプションです。IdM サーバーは、設定される Kerberos レルムを自動的に追加します。別のレルムは指定できません。
    • Kerberos と連携するには、ホスト名が DNS A レコードに解決する必要があります。--force フラグを使用して強制的にプリンシパルを作成することができます。
    • -e 引数を指定すると、コンマ区切りの暗号化タイプの一覧をキータブに追加できます。これは、デフォルトの暗号化タイプより優先されます。エントリーの一覧は、同じコマンド呼び出しでオプションを複数回使用するか、--option={val1,val2,val3} などの中括弧内にオプションを一覧表示して設定できます。
    警告
    ipa-getkeytab コマンドは、指定されたプリンシパルのシークレットをリセットします。つまり、そのプリンシパルの他のキータブすべてが無効になります。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。