Red Hat Training

A Red Hat training course is available for RHEL 8

31.9. 外部 CA を root CA として備えた IdM サーバーの Ansible Playbook を使用したデプロイメント

以下の手順に従って、Ansible Playbook を使用して、外部認証局 (CA) を備えた IdM サーバーをデプロイします。

注記

この手順のインベントリーファイルは、INI形式を使用します。または、YAML 形式または JSON 形式を使用できます。

前提条件

  • 以下のいずれかの手順を選択して、シナリオに対応するパラメーターを設定している。

  • ipaserver ロールで使用できる変数について、/usr/share/doc/ansible-freeipa/README-server.md ファイルの説明を読み、理解している。

手順

  1. ansible-playbook コマンドに、インストールの最初ステップの指示を含む Playbook ファイルの名前 (install-server-step1.yml など) を指定して実行します。-i オプションでインベントリーファイルを指定します。

    $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml

    -v オプション、-vv オプション、または -vvv オプションを使用して、詳細のレベルを指定します。

    コマンドラインインターフェイス (CLI) で Ansible Playbook スクリプトの出力を表示できます。次の出力は、失敗したタスクが 0 個のため、スクリプトが正常に実行されたことを示しています。

    PLAY RECAP
    server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0
  2. コントローラー上の ipa.csr 証明書署名要求ファイルを見つけ、これを外部 CA に送信します。
  3. 外部 CA が署名した IdM CA 証明書をコントローラーファイルシステムに配置して、次のステップの Playbook で見つけられるようにします。
  4. ansible-playbook コマンドに、インストールの最終ステップの指示を含む Playbook ファイルの名前 (install-server-step2.yml など) を指定して実行します。-i オプションでインベントリーファイルを指定します。

    $ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml
  5. 以下のいずれかのオプションを選択します。

    • IdM デプロイメントで外部 DNS を使用する場合: /tmp/ipa.system.records.UFRPto.db ファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

      ...
      Restarting the KDC
      Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
      Restarting the web server
      ...
    重要

    既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

    • IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。

      • 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。

        重要

        IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

      • タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールした IdM サーバーのタイムサーバーの SRV レコードが存在すると、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように、今後のレプリカおよびクライアントインストールが自動的に設定されます。

関連情報

ルート CA として 統合 CA を使用して IdM サーバーをデプロイする方法については、Ansible Playbook を使用して、統合 CA を root CA として備えた IdM サーバーをデプロイメント を参照してください。