Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.4. コンテナーへの Identity Management サーバーのインストール外部 CA

この手順では、外部 CA に属する統合 Identity Management 認証局 (CA) のでサーバーをインストールする方法を説明します。

コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。

ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。

作業を開始する前に

  • コンテナーインストールは、ipa-server-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-server-install で使用できる Identity Management インストーラーオプションは、Linux ドメイン ID、認証、およびポリシーガイドIdentity Management Server のインストールとアンインストール で説明しています。

手順

  1. atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-server-install --external-ca コマンドを実行してインストールを開始します。

    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールするときは、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。このインストールでは、ipa-server-install の後に指定した --hostname は無視されます。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は複数回使用できます。
    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。

  2. ipa-server-install セットアップスクリプトが起動します。 

    The log file for this installation can be found in /var/log/ipaserver-install.log
========================================
This program will set up the IPA Server.
[... output truncated ...]

    このプロセスは、ipa-server-install ユーティリティーを使用して非コンテナーサーバーをインストールする場合と同じです。

  3. コンテナーのインストールスクリプトは、/var/lib/<container_name>/root/ipa.csr ファイルに証明書署名要求 (CSR) を生成します。外部 CA に CSR を送信します。発行した証明書および発行している CA の CA 証明書チェーンを取得します。

    詳細は、Linux ドメイン ID、認証、およびポリシーガイド外部 CA を Root CA としてサーバーをインストールする手順 を参照してください。

  4. 署名付き CA 証明書とルート CA 証明書を /var/lib/<container_name>/ ディレクトリーにコピーします。 

    $ cp /root/{ipa,ca}.crt /var/lib/server-container/.

  5. --external-cert-file オプションを指定して atomic run コマンドを実行し、証明書の場所を指定します。インストーラーによりコンテナー内の呼び出しが実行されるため、/data/ ディレクトリーには相対的な場所を指定します。 

    $ atomic run rhel7/ipa-server ipa-server-install --external-cert-file /data/ipa.crt --external-cert-file /data/ca.crt
  6. インストールを再開します。インストーラーは指定された証明書を使用して下位 CA を設定するようになりました。