Red Hat Training

A Red Hat training course is available for RHEL 8

第3章 IdM サーバーのインストール: 統合 DNS と外部 CA を root CA として使用する場合

統合 DNS のある新しい Identity Management (IdM) サーバーをインストールすると、次のような利点があります。

  • ネイティブの IdM ツールを使用すると、メンテナンスおよび DNS レコードの管理のほとんどを自動化できます。たとえば、DNS SRV レコードは、セットアップ中に自動的に作成され、その後は自動的に更新されます。
  • IdM サーバーのインストール時にグローバルフォワーダーを設定すると、インターネットとの安定した接続を確立できます。グローバルフォワーダーは、Active Directory との信頼関係にも便利です。
  • IdM ドメインからのメールが、IdM ドメイン外のメールサーバーによってスパムと見なされないように、DNS 逆ゾーンを設定できます。

統合 DNS のある IdM のインストールにはいくつかの制限があります。

  • IdM DNS は、一般用途の DNS サーバーとして使用することは想定されていません。高度な DNS 機能の一部はサポートされていません。

本章では、外部の認証局 (CA) をルート CA として新しい IdM サーバーをインストールする方法を説明します。

3.1. 対話型インストール

ipa-server-install ユーティリティーを使用して対話型インストールを実行している間、レルム、管理者のパスワード、Directory Manager のパスワードなど、システムの基本設定を指定するように求められます。

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

この手順では、以下に該当するサーバーのインストール方法を説明します。

  • 統合 DNS のあるサーバー
  • 外部認証局 (CA) をルート CA とするサーバー

前提条件

  • 使用する外部 CA のタイプを決定している (--external-ca-type オプション)。詳細は、man ページの ipa-server-install(1) を参照してください。
  • もしくは、Active Directory Certificate Service (AD CS) テンプレートを指定して --external-ca-profile オプションを選択することもできます。たとえば、AD CS のインストール固有のオブジェクト識別子を指定するには、次のコマンドを実行します。

    [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.4405632:1

手順

  1. --external-ca オプションを使用して ipa-server-install ユーティリティーを実行します。

    # ipa-server-install --external-ca

    Microsoft Certificate Services の CA を使用している場合は、--external-ca-type オプションも使用してください。詳細は、ipa-server-install(1) の man ページを参照してください。

  2. スクリプトにより、統合 DNS サービスの設定が求められます。yes または no を入力します。この手順では、統合 DNS のあるサーバーをインストールします。

    Do you want to configure integrated DNS (BIND)? [no]: yes
    注記

    統合 DNS のないサーバーをインストールする場合は、以下の手順にある DNS 設定のプロンプトが表示されません。DNS のないサーバーをインストールする手順の詳細は、5章IdM サーバーのインストール: 統合 DNS がなく統合 CA が root CA としてある場合 を参照してください。

  3. このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。

    • デフォルト値を使用する場合は Enter を押します。
    • カスタム値を指定する場合は、指定する値を入力します。

      Server host name [server.example.com]:
      Please confirm the domain name [example.com]:
      Please provide a realm name [EXAMPLE.COM]:
      警告

      名前は慎重に指定してください。インストール完了後に変更することはできません。

  4. Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、Identity Management (IdM) の管理者システムユーザーアカウント (admin) のパスワードを入力します。

    Directory Manager password:
    IPA admin password:
  5. スクリプトにより、サーバーごとのDNS フォワーダー設定のプロンプトが表示されます。

    Do you want to configure DNS forwarders? [yes]:
    • サーバーごとのDNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。インストールプロセスにより、IdM LDAPにフォワーダーの IP アドレスが追加されます。

      • フォワードポリシーのデフォルト設定は、man ページの ipa-dns-install(1) に記載される --forward-policy の説明を参照してください。
    • DNS 転送を使用しない場合は、no と入力します。

      DNS フォワーダーがないと、IdM ドメインのホストは、インフラストラクチャー内にある他の内部 DNS ドメインから名前を解決できません。ホストは、DNS クエリーを解決するためにパブリック DNS サーバーでのみ残ります。

  6. そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。

    Do you want to search for missing reverse zones? [yes]:

    検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。

    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    注記

    任意で、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

  7. サーバー設定をする場合は、yes と入力します。

    Continue to configure the system with these values? [no]: yes
  8. Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。

    ...
    
    Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
      [1/8]: creating certificate server user
      [2/8]: configuring certificate server instance
    The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
    /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

    この場合は、以下を行います。

    1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
    2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。

      重要

      CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。

    3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem
  9. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  10. インストールスクリプトが完了したら、次の方法で DNS レコードを更新します。

    1. 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。

      重要

      IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

    2. タイムサーバーの _ntp._udp サービス(SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールした IdM サーバーのタイムサーバーの SRV レコードが存在すると、今後のレプリカおよびクライアントインストールが、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように自動的に設定されます。
注記

ipa-server-install --external-ca コマンドは、次のエラーにより失敗する場合があります。

ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed

この失敗は、*_proxy 環境変数が設定されていると発生します。問題の解決方法は、「トラブルシューティング: 外部 CA インストールの失敗」を参照してください。