Red Hat Training

A Red Hat training course is available for RHEL 8

6.3. 非対話型インストール

この手順では、以下のサーバーをインストールします。

  • 統合 DNS のないサーバー
  • 外部認証局 (CA) をルート CA とするサーバー
注記

ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

前提条件

  • 使用する外部 CA のタイプを決定している (--external-ca-type オプション)。詳細は、man ページの ipa-server-install(1) を参照してください。
  • もしくは、Active Directory Certificate Service (AD CS) テンプレートを指定して --external-ca-profile オプションを選択することもできます。たとえば、AD CS のインストール固有のオブジェクト識別子を指定するには、次のコマンドを実行します。

    [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=1.3.6.1.4.1.311.21.8.8950086.10656446.2706058.12775672.480128.147.7130143.4405632:1

手順

  1. 必要に応じて必要な情報をすべて指定して、ipa-server-install ユーティリティーを実行します。外部 CA をルート CA として使用する IdM サーバーを非対話的にインストールする場合の最小要件オプションは以下のとおりです。

    • --external-ca - 外部 CA をルート CA として指定します。
    • --realm - Kerberos レルム名を指定します。
    • --ds-password - Directory Server のスーパーユーザーである Directory Manager (DM) のパスワードを指定します。
    • --admin-password - IdM 管理者である admin のパスワードを指定します。
    • --unattended - インストールプロセスでホスト名およびドメイン名のデフォルトオプションを選択するようにします。

      以下に例を示します。

      # ipa-server-install --external-ca --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended

    Microsoft Certificate Services の CA を使用している場合は、--external-ca-type オプションも使用してください。詳細は、ipa-server-install(1) の man ページを参照してください。

  2. Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。

    ...
    
    Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
      [1/11]: configuring certificate server instance
    The next step is to get /root/ipa.csr signed by your CA and re-run /usr/sbin/ipa-server-install as:
    /usr/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
    The ipa-server-install command was successful

    この場合は、以下を行います。

    1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。
    2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。

      重要

      CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。

    3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  3. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  4. インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
重要

既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

関連情報