Red Hat Training

A Red Hat training course is available for RHEL 8

7.3. 非対話型インストール

この手順では、以下のサーバーをインストールします。

  • 統合 DNS のないサーバー
  • 外部認証局 (CA) をルート CA とするサーバー
注記

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

  • --external-ca-type オプションで指定する外部 CA のタイプを決定している。詳細は、ipa-server-install (1) の man ページを参照すること。

  • Microsoft 証明書サービス認証局 (MS CS CA) を外部 CA として使用している場合は、--external-ca-profile オプションで指定する証明書プロファイルまたはテンプレートを決定している。デフォルトでは、SubCA テンプレートが使用される。

    --external-ca-type および --external-ca-profile オプションの詳細は、ルート CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション を参照してください。

手順

  1. 必要に応じて必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。外部 CA をルート CA として使用する IdM サーバーを非対話的にインストールする場合の最小要件オプションは以下のとおりです。

    • --external-ca - 外部 CA をルート CA として指定します。
    • --realm - Kerberos レルム名を指定します。
    • --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
    • --admin-password - IdM 管理者である admin のパスワードを指定します。

    • --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。

      以下に例を示します。 

      # ipa-server-install --external-ca --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

    Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。詳細は、root CA として外部 CA と共に IdM CA をインストールする際に使用されるオプション を参照してください。

  2. Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。 

    ...

Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
  [1/11]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
/usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-server-install command was successful

    この場合は、以下を行います。

    1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。

    2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。

      重要

      CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。

    3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。 

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm IDM.EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  3. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。

  4. インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。 

    ...
Restarting the KDC
Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
Restarting the web server
...
重要

既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

関連情報