D.2. レプリカの作成

以下のセクションでは、最も重要なレプリカインストールのシナリオについて説明します。
  • これらの手順と例は相互排除的なものではなく、CA、DNS、および他のコマンドラインオプションは同時に使うことができます。以下のセクション例は、各設定エリアで必要なものを明確にするために個別に示されています。
  • ipa-replica-install ユーティリティーは多くのオプションを受け付けます。これらの完全一覧については、ipa-replica-install(1) man ページを参照してください。

D.2.1. DNS なしのレプリカのインストール

  1. マスター IdM サーバー上でipa-replica-prepare ユーティリティーを実行して、レプリカの完全修飾ドメイン名 (FQDN) を追加します。レプリカの IP アドレスに他のサーバーが到達できないと、ipa-replica-prepare スクリプトはその IP アドレスの確認や検証を実行しないことに注意してください。

    重要

    完全修飾ドメイン名は有効な DNS 名である必要があります。つまり、許可されるのは数字、アルファベット、ハイフン (-) のみです。ホスト名にアンダースコアのような他の文字があると、DNS エラーが発生します。また、ホスト名はすべて小文字を使用する必要があり、大文字は使用できません。
    命名プラクティスに関する他の推奨事項については、Red Hat Enterprise Linux セキュリティーガイド を参照してください。
    マスターサーバーが統合 DNS で設定されている場合は、--ip-address オプションを使ってレプリカマシンの IP アドレスを指定します。すると、インストールスクリプトはレプリカに逆引きゾーンを設定するかどうかを尋ねます。IdM サーバーが統合 DNS で設定されている場合にのみ、--ip-address を渡します。これ以外の場合にこのオプションを渡すと、更新する DNS レコードが存在しないため、DNS レコード操作が失敗して、レプリカ作成も失敗することになります。
    プロンプトが出たら、最初のサーバーの Directory Manager (DM) パスワードを入力します。ipa-replica-prepare の出力では、以下のようにレプリカ情報ファイルの場所が示されます。
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
    Directory Manager (existing master) password:
    
    Do you want to configure the reverse zone? [yes]: no
    Preparing replica for replica.example.com from server.example.com
    Creating SSL certificate for the Directory Server
    Creating SSL certificate for the dogtag Directory Server
    Saving dogtag Directory Server port
    Creating SSL certificate for the Web Server
    Exporting RA certificate
    Copying additional files
    Finalizing configuration
    Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
    Adding DNS records for replica.example.com
    Waiting for replica.example.com. A or AAAA record to be resolvable
    This can be safely interrupted (Ctrl+C)
    The ipa-replica-prepare command was successful

    警告

    レプリカ情報ファイルには機密情報が含まれています。適切な措置を講じてこの情報を保護してください。
    ipa-replica-prepare に使用できるその他のオプションについては、ipa-replica-prepare(1) の man ページを参照してください。
  2. レプリカマシン上で、ipa-server パッケージをインストールします。
    [root@replica ~]# yum install ipa-server
  3. 最初のサーバーからレプリカマシンに、レプリカ情報ファイルをコピーします。
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. レプリカマシン上でipa-replica-install ユーティリティーを実行してレプリカ情報ファイルの場所を追加し、レプリカ初期化プロセスを開始します。プロンプトが出たら、オリジナルのマスターサーバーの Directory Manager および管理者パスワードを入力し、インストールスクリプトが完了するまで待機します。
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
    Directory Manager (existing master) password:
    
    Run connection check to master
    Check connection from replica to remote master 'server.example.com':
    
    ...
    
    Connection from replica to master is OK.
    Start listening on required ports for remote master check
    Get credentials to log in to remote master
    admin@MASTER.EXAMPLE.COM password:
    
    Check SSH connection to remote master
    
    ...
    
    Connection from master to replica is OK.
    
    ...
    
    Configuring NTP daemon (ntpd)
      [1/4]: stopping ntpd
      [2/4]: writing configuration
    
    ...
    
    Restarting Directory server to apply updates
      [1/2]: stopping directory server
      [2/2]: starting directory server
    Done.
    Restarting the directory server
    Restarting the KDC
    Restarting the web server

    注記

    インストールされているレプリカファイルが現行のホスト名と一致しない場合は、スクリプトは警告メッセージを表示し、確認を求めます。マルチホームのマシンなどの場合には、ホスト名が一致しない場合でも継続できることがあります。
    ipa-replica-install に使用できるコマンドラインオプションは、ipa-replica-prepare(1) man ページを参照してください。 ipa-replica-install が受け付けるオプションの 1 つには --ip-address があります。これを ipa-replica-install に使う場合、--ip-address はローカルインターフェイエースに関連づけられた IP アドレスのみを受け付けます。

D.2.2. DNS ありのレプリカのインストール

統合 DNS のあるレプリカをインストールする方法については、「DNS なしのレプリカのインストール」 にある DNS なしでのインストールの手順と同じですが、以下のオプションを ipa-replica-install に追加します。
  • --setup-dns
  • --forwarder
詳細は、「DNS ありのレプリカのインストール」 を参照してください。
以下に例を示します。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
ipa-replica-install を実行した後に、DNS エントリーが正常に作成されたことを確認します。またオプションで、別の DNS サーバーをバックアップとして追加することもできます。詳細は、「DNS ありのレプリカのインストール」 を参照してください。

D.2.3. 各種 CA 設定を伴うレプリカのインストール

警告

Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。

Certificate System CA がインストールされたサーバーからレプリカをインストールする

初期サーバーが Red Hat Certificate System インスタンスで設定されている場合 (root CA もしくは外部 CA に従属しているかに関わらず) にレプリカ上で CA を設定するには、「DNS なしのレプリカのインストール」 に記載の基本的なインストール手順に従いますが、さらに --setup-ca オプションを ipa-replica-install ユーティリティーに追加します。この --setup-ca オプションは、CA 設定を初期サーバーの設定からコピーします。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca

Certificate System CA がインストールされていないサーバーからレプリカをインストールする

CA のないレプリカのインストールについては、「DNS なしのレプリカのインストール」 にあるインストールの手順と同じですが、初期サーバーで ipa-replica-prepare を実行する際に以下のオプションを追加します。
  • --dirsrv-cert-file
  • --dirsrv-pin
  • --http-cert-file
  • --http-pin
以下に例を示します。
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt

D.2.4. 新たなレプリカ合意の追加

ipa-replica-install を使ってレプリカをインストールすると、初期のレプリカ合意がマスターサーバーとレプリカ間で作成されます。レプリカを他のサーバーや他のレプリカと接続するには、ipa-replica-manage ユーティリティーで新たな合意を追加します。
マスターサーバーと新規レプリカに CA がインストールされている場合は、CA のレプリカ合意も作成されます。他のサーバーやレプリカに新たな CA レプリカ合意を追加するには、ipa-csreplica-manage ユーティリティーを使用します。
新たなレプリカ合意を追加する方法については、「レプリカとレプリカ合意の管理」 を参照してください。