Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.2. レプリカの作成

以下のセクションでは、最も注目すべきレプリカのインストールシナリオを説明します。
  • 手順と例は合わせて使用してください。CA、DNS、およびその他のコマンドラインオプションを同時に使用できます。以下のセクションの例は、各設定エリアに必要なものを明確にするために、別々に説明します。
  • ipa-replica-install ユーティリティーは、他の多くのオプションも受け付けます。完全な一覧については、ipa-replica-install(1) の man ページ。

D.2.1. DNS を使用しないレプリカのインストール

  1. マスターの IdM サーバーでipa-replica-prepare ユーティリティーを実行し、レプリカ マシンの完全修飾ドメインネーム (FQDN) を追加します。レプリカの IP アドレスに他のサーバーが到達できないと、ipa-replica-prepare スクリプトは、その IP アドレスの確認や検証を実行しないことに注意してください。
    重要
    .company など、単一ラベルのドメイン名を使用しないでください。IdMドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で構成する必要があります。
    完全修飾ドメイン名は、以下の条件を満たす必要があります。
    • 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
    • すべてが小文字である。大文字は使用できません。
    • 完全修飾ドメイン名は、ループバックアドレスを解決できません。127.0.0.1 ではなく、マシンの公開 IP アドレスを解決する必要があります。
    その他の推奨される命名プラクティスは、『Red Hat Enterprise Linuxnbsp; 『Hat Enterprise Linuxnbsp;Linux Security Guide』』 の「 Recommended Naming Practices 」を参照してください。
    マスターサーバーが統合 DNS で設定されている場合は、--ip-address でレプリカマシンの IP アドレスを指定します。インストールスクリプトは、レプリカの逆引きゾーンを設定するかどうかを尋ねられます。IdM サーバーが統合 DNS で設定されている場合に限り、--ip-address を渡します。これ以外の場合にこのオプションを渡すと、更新する DNS レコードが存在しないため、DNS レコード操作が失敗して、レプリカ作成も失敗することになります。
    プロンプトが表示されたら、初期マスターサーバーの DM (Directory Manager) パスワードを入力します。ipa-replica-prepare の出力には、レプリカインフォメーションファイルの場所が表示されます。以下に例を示します。
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
    Directory Manager (existing master) password:
    
    Do you want to configure the reverse zone? [yes]: no
    Preparing replica for replica.example.com from server.example.com
    Creating SSL certificate for the Directory Server
    Creating SSL certificate for the dogtag Directory Server
    Saving dogtag Directory Server port
    Creating SSL certificate for the Web Server
    Exporting RA certificate
    Copying additional files
    Finalizing configuration
    Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
    Adding DNS records for replica.example.com
    Waiting for replica.example.com. A or AAAA record to be resolvable
    This can be safely interrupted (Ctrl+C)
    The ipa-replica-prepare command was successful
    
    警告
    レプリカ情報ファイルには機密情報が含まれています。適切な措置を講じてこの情報を保護してください。
    ipa-replica-prepare に追加できるその他のオプションは、ipa-replica-prepare(1) の man ページを参照してください。
  2. レプリカマシンで、ipa-server パッケージをインストールします。
    [root@replica ~]# yum install ipa-server
  3. 初期サーバーからレプリカ情報ファイルを、レプリカマシンにコピーします。
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. レプリカマシンでipa-replica-install ユーティリティーを実行し、レプリカ情報ファイルの場所を追加して、レプリカの初期化プロセスを開始します。プロンプトが表示されたら、元のマスターサーバーの Directory Manager と admin のパスワードを入力し、レプリカのインストールスクリプトが完了するまで待ちます。
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
    Directory Manager (existing master) password:
    
    Run connection check to master
    Check connection from replica to remote master 'server.example.com':
    
    ...
    
    Connection from replica to master is OK.
    Start listening on required ports for remote master check
    Get credentials to log in to remote master
    admin@MASTER.EXAMPLE.COM password:
    
    Check SSH connection to remote master
    
    ...
    
    Connection from master to replica is OK.
    
    ...
    
    Configuring NTP daemon (ntpd)
      [1/4]: stopping ntpd
      [2/4]: writing configuration
    
    ...
    
    Restarting Directory server to apply updates
      [1/2]: stopping directory server
      [2/2]: starting directory server
    Done.
    Restarting the directory server
    Restarting the KDC
    Restarting the web server
    
    注記
    インストールするレプリカファイルが現在のホスト名と一致しない場合は、レプリカのインストールスクリプトにより警告メッセージが表示され、確認するように求められます。場合によっては、マルチホームマシンなど、一致しないホスト名で続行することを確認できます。
    ipa-replica-install に追加できるコマンドラインオプションは、ipa-replica-prepare(1) man ページを参照してください。--ip-address で使用できるオプションの 1 つに ipa-replica-install オプションがあります。ipa-replica-install に追加すると、--ip-address は、ローカルインターフェースに関連付けられた IP アドレスだけを許可します。