CentOSについては、ipa-client の rpm が見つからなかったので、 LDAP, kerberosの設定用にsystem-config-authentication を使用した。 LDAP, kerberos を利用する設定にして、サーバーとしてIPA server を指定すると、ipa-client と同様、IPA Server の登録により、ログインができる設定になる。一応、インストール時にも設定できるのだが、以前のXenの時にインストール後に設定していたため、こちらを利用した。

SSHのSSOのために、keytab を登録する際には、まず、IPA Server上で、

$ kinit admin
$ ipa-addservice host/hostname.domain
$ ipa-getkeytab -s ipaserver.domain -p host/hostname.domain -k /tmp/aaa.keytab

を実行し、出来た aaa.keytabを /etc/krb5.keytab としてCentOS 5.3 に登録する。 これで、SSHによるSSOができるはずである。

SSOがうまくいかない際に確認すべき点
・ hostnameをFQDNとする。
・ /etc/hosts でFQDNが127.0.0.1 に振られないようにする。(ログインされる側で設定が必要。)
・ DNSの正引き、逆引きを一致させ、かつ、正引きがhostnameと一致するようにする。