Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.2. レプリカの作成

次のセクションでは、最も注目すべきレプリカのインストールシナリオを説明します。
  • 手順と例は相互に排他的ではありません。CA、DNS、およびその他のコマンドラインオプションを同時に使用できます。以下のセクションの例では、各設定エリアに必要なものを明確にするために個別に呼び出されます。
  • ipa-replica-install ユーティリティーは、その他のオプションを多数使用します。完全な一覧は ipa-replica-install(1) の man ページです。

D.2.1. DNS のないレプリカのインストール

  1. マスター IdM サーバーで ipa-replica-prepare ユーティリティーを実行し、レプリカマシンの完全修飾ドメイン名 (FQDN)を追加します。ipa-replica-prepare スクリプトは、IP アドレスを検証せず、レプリカの IP アドレスに他のサーバーがアクセス可能かどうかを確認します。
    重要
    完全修飾ドメイン名は、数字、アルファベット文字、およびハイフン(-)のみで構成される有効な DNS 名でなければなりません。ホスト名にアンダースコアなどの他の文字が含まれていると、DNS が正常に機能しなくなります。また、ホスト名がすべて小文字である必要があり、大文字は使用できません。
    マスターサーバーが統合 DNS で設定されている場合は、--ip-address オプションを使用してレプリカマシンの IP アドレスを指定します。次に、インストールスクリプトは、レプリカの逆引きゾーンを設定するかどうかを尋ねます。IdM サーバーが統合 DNS で設定されている場合にのみ --ip-address を渡します。それ以外の場合は、更新する DNS レコードがなく、DNS レコード操作が失敗するとレプリカ作成に失敗します。
    プロンプトが表示されたら、初期マスターサーバーの Directory Manager(DM)パスワードを入力します。ipa-replica-prepare の出力には、レプリカ情報ファイルの場所が表示されます。以下に例を示します。
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
    Directory Manager (existing master) password:
    
    Do you want to configure the reverse zone? [yes]: no
    Preparing replica for replica.example.com from server.example.com
    Creating SSL certificate for the Directory Server
    Creating SSL certificate for the dogtag Directory Server
    Saving dogtag Directory Server port
    Creating SSL certificate for the Web Server
    Exporting RA certificate
    Copying additional files
    Finalizing configuration
    Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
    Adding DNS records for replica.example.com
    Waiting for replica.example.com. A or AAAA record to be resolvable
    This can be safely interrupted (Ctrl+C)
    The ipa-replica-prepare command was successful
    
    警告
    レプリカ情報ファイルには機密情報が含まれています。適切な手順を実行して、それらが適切に保護されていることを確認します。
    ipa-replica-prepare に追加できるその他のオプションは、ipa-replica-prepare(1) の man ページを参照してください。
  2. レプリカマシンにipa-server パッケージをインストールします。
    [root@replica ~]# yum install ipa-server
  3. レプリカ情報ファイルを初期サーバーからレプリカマシンにコピーします。
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. レプリカマシンで 、ipa-replica-install ユーティリティーを実行し、レプリケーション情報ファイルの場所を追加して、レプリカの初期化プロセスを開始します。プロンプトが表示されたら、元のマスターサーバーの Directory Manager および admin パスワードを入力し、レプリカのインストールスクリプトが完了するまで待ちます。
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
    Directory Manager (existing master) password:
    
    Run connection check to master
    Check connection from replica to remote master 'server.example.com':
    
    ...
    
    Connection from replica to master is OK.
    Start listening on required ports for remote master check
    Get credentials to log in to remote master
    admin@MASTER.EXAMPLE.COM password:
    
    Check SSH connection to remote master
    
    ...
    
    Connection from master to replica is OK.
    
    ...
    
    Configuring NTP daemon (ntpd)
      [1/4]: stopping ntpd
      [2/4]: writing configuration
    
    ...
    
    Restarting Directory server to apply updates
      [1/2]: stopping directory server
      [2/2]: starting directory server
    Done.
    Restarting the directory server
    Restarting the KDC
    Restarting the web server
    
    注記
    インストールされているレプリカファイルが現在のホスト名と一致しないと、レプリカのインストールスクリプトに警告メッセージが表示され、確認が求められます。マルチホームマシンなど、場合によっては、一致しないホスト名を続行できます。
    ipa-replica-install に追加できるコマンドラインオプションは、ipa-replica-prepare(1) の man ページを参照してください。ipa-replica-install で使用できるオプションの 1 つに --ip-address オプションを指定します。ipa-replica-install に追加すると、--ip-address はローカルインターフェースに関連付けられた IP アドレスのみを受け入れます。

D.2.2. DNS のあるレプリカのインストール

統合 DNS のあるレプリカをインストールするには、DNS 「DNS のないレプリカのインストール」 に以下のオプションを追加します。
  • --setup-dns
  • --forwarder
詳しくは 「DNS のあるレプリカのインストール」、を参照してください。
以下に例を示します。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
ipa-replica-install を実行したら、適切な DNS エントリーが作成され、必要に応じて他の DNS サーバーをバックアップサーバーとして追加します。詳しくは 「DNS のあるレプリカのインストール」、を参照してください。

D.2.3. さまざまな CA 設定を使用したレプリカのインストール

警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA 「CA のあるレプリカのインストール」
CA を 1 つのサーバーにのみインストールする場合は、CA サーバーが失敗した場合に復元できない可能性なしに CA 設定が失われるリスクがあります。詳しくは 「ラost CA サーバーの復旧」、を参照してください。

証明書システム CA をインストールしたサーバーからのレプリカのインストール

初期サーバーが統合 Red Hat Certificate System インスタンスで設定されている場合に CA をレプリカに設定するには(ルート CA であるか、外部 CA 「DNS のないレプリカのインストール」 オプションを追加します。--setup-ca オプションは、CA 設定を初期サーバーの設定からコピーします。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca

証明書システム CA がないサーバーからのレプリカのインストール

CA 「DNS のないレプリカのインストール」、初期サーバーで ipa-replica-prepare ユーティリティーを実行する場合は以下のオプションを追加します。
  • --dirsrv-cert-file
  • --dirsrv-pin
  • --http-cert-file
  • --http-pin
詳しくは 「CA のないサーバーからのレプリカのインストール」、を参照してください。
以下に例を示します。
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt

D.2.4. 追加のレプリカ合意の追加

ipa-replica-install を使用してレプリカをインストールすると、マスターサーバーとレプリカとの間に最初のレプリカ合意が作成されます。レプリカを他のサーバーまたはレプリカに接続するには、ipa-replica-manage ユーティリティーを使用して合意を追加します。
マスターサーバーと新規レプリカに CA がインストールされている場合は、CA のレプリカ合意も作成されます。他のサーバーまたはレプリカに CA レプリカ合意を追加するには、ipa-csreplica-manage ユーティリティーを使用します。