第2章 コンテナーへの Identity Management サーバーのデプロイ

本章では、新しいトポロジーを開始するための新しい Identity Management サーバーをインストールする方法を説明します。

開始する前に、「前提条件」「サーバーおよびレプリケートコンテナーで利用可能な設定」 を読んでください。

以下のいずれかのインストール手順を選択します。どの認証局 (CA) 設定が状況に合っているかわからない場合は、『Linux ドメイン ID、認証、およびポリシーガイド』「CA 設定の決定」を参照してください。

終了後に、「インストール後の次のステップ」を読んでください。

2.1. 前提条件

  • コンテナーをインストールする前に Atomic Host システムをアップグレードします。『Red Hat Enterprise Linux Atomic Host 7 インストールおよび設定ガイド』「アップグレードおよびダウングレード」を参照してください。

2.2. サーバーおよびレプリケートコンテナーで利用可能な設定

利用可能

ドメインレベル 1 以降

コンテナーには、ドメインレベル 0 は利用できません。「ドメインレベルの表示と引き上げ」も参照してください。

そのため、コンテナーで実行しているサーバーは、Red Hat Enterprise Linux 7.3 以降に基づいて、Identity Management サーバーとのみレプリカ合意に加えることが可能です。

コンテナーおよび非コンテナーデプロイメントの組み合わせ
単一の Identity Management ドメイントポロジーには、コンテナーベースおよび RPM ベースのサーバーの両方を追加できます。

利用不可

デプロイされたコンテナーでのサーバーコンポーネントの変更
デプロイされたコンテナーのランタイム変更は行わないでください。統合 DNS や Vault などのサーバーコンポーネントの変更または再インストールが必要な場合は、新しいレプリカを作成してください。
異なる Linux ディストリビューション間でのアップグレード

ipa-server コンテナーイメージを実行するプラットフォームは変更しないでください。たとえば、Red Hat Enterprise Linux で実行しているイメージを Fedora、Ubuntu、または CentOS に変更しないでください。同様に、Fedora、Ubuntu、または CentOS で実行しているイメージを Red Hat Enterprise Linux に変更しないでください。

Identity Management は、Red Hat Enterprise Linux の後続のバージョンへのアップグレードのみをサポートします。

実行中のコンテナーを使用したシステムのダウングレード
ipa-server コンテナーイメージを実行するシステムをダウングレードしないでください。
Atomic Host 上のアップストリームコンテナー
Atomic Host で FreeIPA ipa-server イメージなどのアップストリームコンテナーイメージはインストールしないでください。Red Hat Enterprise Linux で利用可能なコンテナーイメージのみをインストールします。
単一の Atomic Host での複数コンテナー
単一の Atomic Host に ipa-server コンテナーイメージのみをインストールします。

2.3. コンテナーへの Identity Management Server のインストール: 基本的なインストール

この手順では、統合 CA によるデフォルトの認証局 (CA) 設定で、コンテナー Identity Management サーバーをインストールする方法を説明します。

作業を開始する前に

  • コンテナーインストールは、ipa-server-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-server-install で使用できる Identity Management インストーラーオプションは、『Linux ドメイン ID、認証、およびポリシーガイド』『Identity Management Server のインストールとアンインストール』で説明しています。

手順

  1. atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-server-install コマンドを使用して、インストールを開始します。

    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールする場合は、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。ipa-server-install の後に使用した場合には、インストールは --hostname を無視します。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は、複数回使用できます。
    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。

  2. ipa-server-install 設定スクリプトが起動します。

    The log file for this installation can be found in /var/log/ipaserver-install.log
    ========================================
    This program will set up the IPA Server.
    [... output truncated ...]

    このプロセスは、ipa-server-install ユーティリティーを使用してコンテナー以外のサーバーをインストールする場合と同じです。

例2.1 インストールコマンドの例

ipa-server コンテナーをインストールするためのコマンド構文:

$ atomic install [ --name <container_name> ] rhel7/ipa-server [ Atomic options ] [ ipa-server-install | ipa-replica-install ] [ ipa-server-install or ipa-replica-install options ]

server-container という名前のサーバーコンテナーをインストールし、Identity Management サーバー設定のデフォルト値を使用するには、以下を実行します。

$ atomic install --name server-container rhel7/ipa-server publish --hostname server.example.com ipa-server-install --ip-address 2001:DB8::1111

カスタムのホスト名 (--hostname) と統合 DNS (--setup-dns) でサーバーをインストールするには、以下を実行します。

$ atomic install rhel7/ipa-server publish --hostname server.example.com ipa-server-install --setup-dns --ip-address 2001:DB8::1111

2.4. コンテナーへの Identity Management サーバーのインストール: 外部 CA

この手順では、外部 CA に属する統合 Identity Management 認証局 (CA) のでサーバーをインストールする方法を説明します。

コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。

ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。

作業を開始する前に

  • コンテナーインストールは、ipa-server-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-server-install で使用できる Identity Management インストーラーオプションは、『Linux ドメイン ID、認証、およびポリシーガイド』『Identity Management Server のインストールとアンインストール』で説明しています。

手順

  1. atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-server-install --external-ca コマンドを使用して、インストールを開始します。

    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールする場合は、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。ipa-server-install の後に使用した場合には、インストールは --hostname を無視します。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は、複数回使用できます。
    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。

  2. ipa-server-install 設定スクリプトが起動します。

    The log file for this installation can be found in /var/log/ipaserver-install.log
    ========================================
    This program will set up the IPA Server.
    [... output truncated ...]

    このプロセスは、ipa-server-install ユーティリティーを使用してコンテナー以外のサーバーをインストールする場合と同じです。

  3. コンテナーのインストールスクリプトは、/var/lib/<container_name>/root/ipa.csr ファイルに証明書署名要求 (CSR) を生成します。外部 CA に CSR を送信します。発行した証明書および発行している CA の CA 証明書チェーンを取得します。

    詳細は、『Linux ドメイン ID、認証、およびポリシーガイド』「外部 CA を Root CA としてサーバーをインストールする手順」を参照してください。

  4. 署名済み CA 証明書とルート CA 証明書を /var/lib/<container_name>/ ディレクトリーにコピーします。

    $ cp /root/{ipa,ca}.crt /var/lib/server-container/.
  5. --external-cert-file オプションを指定して atomic run コマンドを実行し、証明書の場所を指定します。インストーラーによりコンテナー内の呼び出しが実行されるため、/data/ ディレクトリーには相対的な場所を指定します。

    $ atomic run rhel7/ipa-server ipa-server-install --external-cert-file /data/ipa.crt --external-cert-file /data/ca.crt
  6. インストールを再開します。インストーラーは指定された証明書を使用して下位 CA を設定するようになりました。

2.5. コンテナーへの Identity Management サーバーのインストール: CA なし

この手順では、統合 Identity Management 認証局 (CA) なしでサーバーをインストールする方法を説明します。

コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。

ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。

作業を開始する前に

  • コンテナーインストールは、ipa-server-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-server-install で使用できる Identity Management インストーラーオプションは、『Linux ドメイン ID、認証、およびポリシーガイド』『Identity Management Server のインストールとアンインストール』で説明しています。

手順

  1. コンテナーの永続ストレージディレクトリーを /var/lib/<container_name>/ に手動で作成します。

    $ mkdir -p /var/lib/ipa-server
  2. 証明書チェーンを含むファイルをディレクトリーにコピーします。

    $ cp /root/server-*.p12 /var/lib/ipa-server/.

    必要なファイルに関する詳細は、『Linux ドメイン ID、認証、およびポリシーガイド』「CA なしのインストール」を参照してください。

  3. atomic install コマンドを使用し、サードパーティーの認証局から必要な証明書を指定します。

    $ atomic install --name server-container rhel7/ipa-server publish \
       --hostname server.example.com \
       ipa-server-install \
       --dirsrv-cert-file=/data/server-dirsrv-cert.p12 \
       --dirsrv-pin=1234 \
       --http-cert-file=/data/server-http-cert.p12 \
       --http-pin=1234 \
       --pkinit-cert-file=/data/server-pkinit-cert.p12 \
       --pkinit-pin=1234
    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールする場合は、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。ipa-server-install の後に使用した場合には、インストールは --hostname を無視します。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は、複数回使用できます。
    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。

  4. ipa-server-install 設定スクリプトが起動します。

    The log file for this installation can be found in /var/log/ipaserver-install.log
    ========================================
    This program will set up the IPA Server.
    [... output truncated ...]

    このプロセスは、ipa-server-install ユーティリティーを使用してコンテナー以外のサーバーをインストールする場合と同じです。

2.6. インストール後の次のステップ

  • コンテナーを実行するには、atomic run コマンドを使用します。

    $ atomic run rhel7/ipa-server

    インストール時にコンテナーの名前を指定した場合は、以下を実行します。

    $ atomic run --name server-container rhel7/ipa-server
  • ipa-server コンテナーの実行は、ベアメタルまたは仮想マシンシステムでの標準的な Identity Management デプロイメントと同じ方法で機能します。たとえば、ドメインへのホストの登録やトポロジーの管理は、コマンドラインインターフェース、Web UI、または RPM ベースの Identity Management システムと同じ方法で jsonrpc-API を使用して行えます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。