Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.5. コンテナーへの Identity Management サーバーのインストールCA なし

この手順では、統合 Identity Management 認証局 (CA) なしでサーバーをインストールする方法を説明します。

コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。

ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。

作業を開始する前に

  • コンテナーインストールは、ipa-server-install で使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用する atomic install コマンドに追加オプションを指定します。

    • ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
    • ipa-server-install で使用できる Identity Management インストーラーオプションは、Linux ドメイン ID、認証、およびポリシーガイドIdentity Management Server のインストールとアンインストール で説明しています。

手順

  1. コンテナーの永続ストレージディレクトリーを /var/lib/<container_name>/ に手動で作成します。 

    $ mkdir -p /var/lib/ipa-server

  2. 証明書チェーンを含むファイルをディレクトリーにコピーします。 

    $ cp /root/server-*.p12 /var/lib/ipa-server/.

    必要なファイルに関する詳細は、Linux ドメイン ID、認証、およびポリシーガイドCA なしのインストール を参照してください。

  3. atomic install コマンドを使用し、サードパーティーの認証局から必要な証明書を指定します。 

    $ atomic install --name server-container rhel7/ipa-server publish \
   --hostname server.example.com \
   ipa-server-install \
   --dirsrv-cert-file=/data/server-dirsrv-cert.p12 \
   --dirsrv-pin=1234 \
   --http-cert-file=/data/server-http-cert.p12 \
   --http-pin=1234 \
   --pkinit-cert-file=/data/server-pkinit-cert.p12 \
   --pkinit-pin=1234

    • コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。

      注記

      サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。

      重要

      サーバーまたはレプリカコンテナーをインストールするときは、atomic install--hostname オプションを常に指定するようにしてください。この場合、--hostname は Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-install オプションの前に指定します。このインストールでは、ipa-server-install の後に指定した --hostname は無視されます。

    • 統合 DNS でサーバーをインストールする場合は、--ip-address オプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-address は複数回使用できます。
    警告

    テスト目的のみでコンテナーをインストールする場合を除き、publish オプションは常に使用してください。publish なしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。

  4. ipa-server-install セットアップスクリプトが起動します。 

    The log file for this installation can be found in /var/log/ipaserver-install.log
========================================
This program will set up the IPA Server.
[... output truncated ...]

    このプロセスは、ipa-server-install ユーティリティーを使用して非コンテナーサーバーをインストールする場合と同じです。