Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3.4. コンテナーへの Identity Management レプリカのインストールCA なし

この手順では、統合 Identity Management 認証局 (CA) なしでサーバーをインストールする方法を説明します。

コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。

ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。

作業を開始する前に

  • コンテナーインストールは、ipa-replica-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-replica-install で使用できる Identity Management インストーラーオプションは、Linux ドメイン ID、認証、およびポリシーガイドIdentity Management のレプリカのインストールとアンインストール で説明しています。
  • インストール済みのサーバーが利用可能である必要があります。ベアメタルマシンまたは別の Atomic Host システムのいずれかになります。

手順

  1. コンテナーでマスターサーバーに対してレプリカをインストールするには、Linux ドメイン ID、認証、およびポリシーガイドIdentity Management サーバーのインストールおよびアンインストール で指定されているポートでマスターコンテナーへの双方向通信を有効にします。

  2. コンテナーの永続ストレージディレクトリーを /var/lib/<container_name>/ に手動で作成します。 

    $ mkdir -p /var/lib/ipa-server

  3. 証明書チェーンを含むファイルをディレクトリーにコピーします。 

    $ cp /root/server-*.p12 /var/lib/ipa-server/.

    必要なファイルに関する詳細は、Linux ドメイン ID、認証、およびポリシーガイドCA なしのインストール を参照してください。

  4. atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-replica-install コマンドを使用して --server および --domain オプションを指定して、Identity Management サーバーのホスト名およびドメイン名を指定し、サードパーティーの認証局から必要な証明書を指定します。 

    $ atomic install --name replica-container rhel7/ipa-server publish \
    --hostname replica.example.com \
    ipa-replica-install \
    --server server.example.com \
    --domain example.com \
    --dirsrv-cert-file=/data/replica-dirsrv-cert.p12 \
    --dirsrv-pin=1234 \
    --http-cert-file=/data/replica-http-cert.p12 \
    --http-pin=1234 \
    --pkinit-cert-file=/data/replica-pkinit-cert.p12 \
    --pkinit-pin=1234
    注記

    証明書へのパスには、永続ストレージボリュームがコンテナー内の /data/ にマップするため /data/ が含まれます。

    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールするときは、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。このインストールでは、ipa-server-install の後に指定した --hostname は無視されます。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は複数回使用できます。

    • インタラクティブレプリカインストールモードにおける既知の問題 により、標準の ipa-replica-install オプションを追加して、以下のいずれかを指定します。

    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。