Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.2. レプリカの作成

以下のセクションでは、最も注目すべきレプリカのインストールシナリオを説明します。
  • 手順と例は合わせて使用してください。CA、DNS、およびその他のコマンドラインオプションを同時に使用できます。以下のセクションの例は、各設定エリアに必要なものを明確にするために、別々に説明します。
  • ipa-replica-install ユーティリティーは、他の多くのオプションも受け付けます。完全なリストについては、ipa-replica-install(1) の man ページ。

D.2.1. DNS を使用しないレプリカのインストール

  1. マスターの IdM サーバーでipa-replica-prepare ユーティリティーを実行し、レプリカ マシンの完全修飾ドメインネーム (FQDN) を追加します。レプリカの IP アドレスに他のサーバーが到達できないと、ipa-replica-prepare スクリプトは、その IP アドレスの確認や検証を実行しないことに注意してください。
    重要
    .company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で設定する必要があります。
    完全修飾ドメイン名は、以下の条件を満たす必要があります。
    • 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
    • すべてが小文字である。大文字は使用できません。
    • 完全修飾ドメイン名は、ループバックアドレスを解決できません。127.0.0.1 ではなく、マシンの公開 IP アドレスを解決する必要があります。
    その他の推奨命名プラクティスは『Red Hat Enterprise Linux Security Guide』のRecommended Naming Practicesを参照してください。
    マスターサーバーが統合 DNS で設定されている場合は、--ip-address でレプリカマシンの IP アドレスを指定します。インストールスクリプトは、レプリカの逆引きゾーンを設定するかどうかを尋ねられます。IdM サーバーが統合 DNS で設定されている場合に限り、--ip-address を渡します。これ以外の場合にこのオプションを渡すと、更新する DNS レコードが存在しないため、DNS レコード操作が失敗して、レプリカ作成も失敗することになります。
    プロンプトが表示されたら、初期マスターサーバーの DM (Directory Manager) パスワードを入力します。ipa-replica-prepare の出力には、レプリカインフォメーションファイルの場所が表示されます。以下に例を示します。
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
    Directory Manager (existing master) password:
    
    Do you want to configure the reverse zone? [yes]: no
    Preparing replica for replica.example.com from server.example.com
    Creating SSL certificate for the Directory Server
    Creating SSL certificate for the dogtag Directory Server
    Saving dogtag Directory Server port
    Creating SSL certificate for the Web Server
    Exporting RA certificate
    Copying additional files
    Finalizing configuration
    Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
    Adding DNS records for replica.example.com
    Waiting for replica.example.com. A or AAAA record to be resolvable
    This can be safely interrupted (Ctrl+C)
    The ipa-replica-prepare command was successful
    
    警告
    レプリカ情報ファイルには機密情報が含まれています。適切な措置を講じてこの情報を保護してください。
    ipa-replica-prepare に追加できるその他のオプションは、ipa-replica-prepare(1) の man ページを参照してください。
  2. レプリカマシンで、ipa-server パッケージをインストールします。
    [root@replica ~]# yum install ipa-server
  3. 初期サーバーからレプリカ情報ファイルを、レプリカマシンにコピーします。
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. レプリカマシンでipa-replica-install ユーティリティーを実行し、レプリカ情報ファイルの場所を追加して、レプリカの初期化プロセスを開始します。プロンプトが表示されたら、元のマスターサーバーの Directory Manager と admin のパスワードを入力し、レプリカのインストールスクリプトが完了するまで待ちます。
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
    Directory Manager (existing master) password:
    
    Run connection check to master
    Check connection from replica to remote master 'server.example.com':
    
    ...
    
    Connection from replica to master is OK.
    Start listening on required ports for remote master check
    Get credentials to log in to remote master
    admin@MASTER.EXAMPLE.COM password:
    
    Check SSH connection to remote master
    
    ...
    
    Connection from master to replica is OK.
    
    ...
    
    Configuring NTP daemon (ntpd)
      [1/4]: stopping ntpd
      [2/4]: writing configuration
    
    ...
    
    Restarting Directory server to apply updates
      [1/2]: stopping directory server
      [2/2]: starting directory server
    Done.
    Restarting the directory server
    Restarting the KDC
    Restarting the web server
    
    注記
    インストールするレプリカファイルが現在のホスト名と一致しない場合は、レプリカのインストールスクリプトにより警告メッセージが表示され、確認するように求められます。場合によっては、マルチホームマシンなど、一致しないホスト名で続行することを確認できます。
    ipa-replica-install に追加できるコマンドラインオプションは、ipa-replica-prepare(1) man ページを参照してください。--ip-address で使用できるオプションの 1 つに ipa-replica-install オプションがあります。ipa-replica-install に追加すると、--ip-address は、ローカルインターフェイスに関連付けられた IP アドレスだけを許可します。

D.2.2. DNS のあるレプリカのインストール

統合 DNS のあるレプリカをインストールするには、「DNS を使用しないレプリカのインストール」で説明されている DNS を使用せずにインストールする手順に従いますが、以下のオプションを ipa-replica-install に追加します。
  • --setup-dns
  • --forwarder
詳細は「DNS のあるレプリカのインストール」を参照してください。
以下に例を示します。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
ipa-replica-install の実行後に、適切な DNS エントリーが作成されたことを確認し、必要に応じて他の DNS サーバーをバックアップサーバーとして追加します。詳細は「DNS のあるレプリカのインストール」を参照してください。

D.2.3. さまざまな CA 設定を使用したレプリカのインストール

警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。
CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「失われた CA サーバーの復旧」を参照してください。

証明書システム CA がインストールされているサーバーからのレプリカのインストール

初期サーバーを、統合 Red Hat 証明書システムインスタンスで設定する際に、レプリカに CA を設定するには (ルート CA であるかどうか、外部 CA の下位にあるかどうかに関係なく)、「DNS を使用しないレプリカのインストール」で説明されている基本的なインストール手順に従いますが、ipa-replica-install ユーティリティーに --setup-ca を追加します。--setup-ca オプションは、最初のサーバーの設定から CA 設定をコピーします。
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca

証明書システム CA がインストールされていないサーバーからのレプリカのインストール

CA なしのレプリカのインストールでは、「DNS を使用しないレプリカのインストール」で説明されている基本的な手順に従いますが、最初のサーバーで ipa-replica-prepare ユーティリティーを実行する場合は次のオプションを追加します。
  • --dirsrv-cert-file
  • --dirsrv-pin
  • --http-cert-file
  • --http-pin
以下に例を示します。
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt

D.2.4. 追加のレプリカ合意の追加

ipa-replica-install を使用してレプリカをインストールすると、マスターサーバーとレプリカとの間に初期のレプリカ合意が作成されます。レプリカを別のサーバーまたはレプリカに接続するには、ipa-replica-manage ユーティリティーを使用して合意を追加します。
マスターサーバーと新しいレプリカに CA がインストールされている場合は、CA のレプリカ合意も作成されます。別のサーバーまたはレプリカに CA レプリカ合意を追加するには、ipa-csreplica-manage ユーティリティーを使用します。
別のレプリカ合意を追加する方法は、「レプリカおよびレプリカ合意の管理」 を参照してください。