Show Table of Contents
D.2. レプリカの作成
以下のセクションでは、最も重要なレプリカインストールのシナリオについて説明します。
- これらの手順と例は相互排除的なものではなく、CA、DNS、および他のコマンドラインオプションは同時に使うことができます。以下のセクション例は、各設定エリアで必要なものを明確にするために個別に示されています。
ipa-replica-installユーティリティーは多くのオプションを受け付けます。これらの完全一覧については、ipa-replica-install(1) man ページを参照してください。
D.2.1. DNS なしのレプリカのインストール
- マスター IdM サーバー上で、
ipa-replica-prepareユーティリティーを実行して、レプリカの完全修飾ドメイン名 (FQDN) を追加します。レプリカの IP アドレスに他のサーバーが到達できないと、ipa-replica-prepareスクリプトはその IP アドレスの確認や検証を実行しないことに注意してください。重要
完全修飾ドメイン名は有効な DNS 名である必要があります。つまり、許可されるのは数字、アルファベット、ハイフン (-) のみです。ホスト名にアンダースコアのような他の文字があると、DNS エラーが発生します。また、ホスト名はすべて小文字を使用する必要があり、大文字は使用できません。命名プラクティスに関する他の推奨事項については、Red Hat Enterprise Linux セキュリティーガイド を参照してください。マスターサーバーが統合 DNS で設定されている場合は、--ip-addressオプションを使ってレプリカマシンの IP アドレスを指定します。すると、インストールスクリプトはレプリカに逆引きゾーンを設定するかどうかを尋ねます。IdM サーバーが統合 DNS で設定されている場合にのみ、--ip-addressを渡します。これ以外の場合にこのオプションを渡すと、更新する DNS レコードが存在しないため、DNS レコード操作が失敗して、レプリカ作成も失敗することになります。プロンプトが出たら、最初のサーバーの Directory Manager (DM) パスワードを入力します。ipa-replica-prepareの出力では、以下のようにレプリカ情報ファイルの場所が示されます。[root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2 Directory Manager (existing master) password: Do you want to configure the reverse zone? [yes]: no Preparing replica for replica.example.com from server.example.com Creating SSL certificate for the Directory Server Creating SSL certificate for the dogtag Directory Server Saving dogtag Directory Server port Creating SSL certificate for the Web Server Exporting RA certificate Copying additional files Finalizing configuration Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg Adding DNS records for replica.example.com Waiting for replica.example.com. A or AAAA record to be resolvable This can be safely interrupted (Ctrl+C) The ipa-replica-prepare command was successful警告
レプリカ情報ファイルには機密情報が含まれています。適切な措置を講じてこの情報を保護してください。ipa-replica-prepareで使用可能な他のオプションについては、ipa-replica-prepare(1) man ページを参照してください。 - レプリカマシン上で、ipa-server パッケージをインストールします。
[root@replica ~]# yum install ipa-server
- 最初のサーバーからレプリカマシンに、レプリカ情報ファイルをコピーします。
[root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
- レプリカマシン上で、
ipa-replica-installユーティリティーを実行してレプリカ情報ファイルの場所を追加し、レプリカ初期化プロセスを開始します。プロンプトが出たら、オリジナルのマスターサーバーの Directory Manager および管理者パスワードを入力し、インストールスクリプトが完了するまで待機します。[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg Directory Manager (existing master) password: Run connection check to master Check connection from replica to remote master 'server.example.com': ... Connection from replica to master is OK. Start listening on required ports for remote master check Get credentials to log in to remote master admin@MASTER.EXAMPLE.COM password: Check SSH connection to remote master ... Connection from master to replica is OK. ... Configuring NTP daemon (ntpd) [1/4]: stopping ntpd [2/4]: writing configuration ... Restarting Directory server to apply updates [1/2]: stopping directory server [2/2]: starting directory server Done. Restarting the directory server Restarting the KDC Restarting the web server
注記
インストールされているレプリカファイルが現行のホスト名と一致しない場合は、スクリプトは警告メッセージを表示し、確認を求めます。マルチホームのマシンなどの場合には、ホスト名が一致しない場合でも継続できることがあります。ipa-replica-installで使用可能な他のオプションについては、ipa-replica-prepare(1) man ページを参照してください。ipa-replica-installが受け付けるオプションの 1 つに--ip-addressがあります。これをipa-replica-installに追加する場合は、--ip-addressはローカルインターフェイスに関連付けられた IP アドレスのみを受け付けます。
D.2.2. DNS ありのレプリカのインストール
統合 DNS のあるレプリカをインストールする方法については、「DNS なしのレプリカのインストール」 にある DNS なしでのインストールの手順と同じですが、以下のオプションを
ipa-replica-install に追加します。
--setup-dns--forwarder
詳細は、「DNS ありのレプリカのインストール」 を参照してください。
以下に例を示します。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
ipa-replica-install を実行した後に、DNS エントリーが正常に作成されたことを確認します。またオプションで、別の DNS サーバーをバックアップとして追加することもできます。詳細は、「DNS ありのレプリカのインストール」 を参照してください。
D.2.3. 各種 CA 設定を伴うレプリカのインストール
警告
Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。
Certificate System CA がインストールされたサーバーからレプリカをインストールする
初期サーバーが Red Hat Certificate System インスタンスで設定されている場合 (root CA もしくは外部 CA に従属しているかに関わらず) にレプリカ上で CA を設定するには、「DNS なしのレプリカのインストール」 に記載の基本的なインストール手順に従いますが、さらに
--setup-ca オプションを ipa-replica-install ユーティリティーに追加します。この --setup-ca オプションは、CA 設定を初期サーバーの設定からコピーします。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca
Certificate System CA がインストールされていないサーバーからレプリカをインストールする
CA のないレプリカのインストールについては、「DNS なしのレプリカのインストール」 にあるインストールの手順と同じですが、初期サーバーで
ipa-replica-prepare を実行する際に以下のオプションを追加します。
--dirsrv-cert-file--dirsrv-pin--http-cert-file--http-pin
詳細は 「CA がインストールされていないサーバーからのレプリカのインストール」 を参照してください。
以下に例を示します。
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt
D.2.4. 新たなレプリカ合意の追加
ipa-replica-install を使ってレプリカをインストールすると、初期のレプリカ合意がマスターサーバーとレプリカ間で作成されます。レプリカを他のサーバーや他のレプリカと接続するには、ipa-replica-manage ユーティリティーで新たな合意を追加します。
マスターサーバーと新規レプリカに CA がインストールされている場合は、CA のレプリカ合意も作成されます。他のサーバーやレプリカに新たな CA レプリカ合意を追加するには、
ipa-csreplica-manage ユーティリティーを使用します。
新たなレプリカ合意を追加する方法については、「レプリカとレプリカ合意の管理」 を参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.