Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5. レプリカの作成: はじめに

ipa-replica-install ユーティリティーは、既存の IdM サーバーから新しいレプリカをインストールするために使用されます。Identity Management レプリカは一度に 1 つずつインストールします。同時に複数のレプリカをインストールすることはサポートされません。
注記
本章では、Red Hat Enterprise Linux 7.3 で導入された簡素化されたレプリカのインストールについて説明します。この手順にはドメインレベル 1 が必要です 7章ドメインレベルの表示と評価)。
新しいレプリカをインストールできます。
このような状態の両方で、ipa-replica-install 「ipa-replica-install を使用したユースケースのレプリカの設定」。を参照してください。
レプリカを非表示としてインストールするには、--hidden-replica パラメーターを ipa-replica-install に渡します。「非表示のレプリカモード」
重要
複製する IdM サーバーに Active Directory を信頼する場合は、ipa-replica-install の実行後に、レプリカを信頼エージェントとして設定します。『Windows 『統合ガイド』の「信頼コントローラーおよび信頼エージェント』 」を参照してください

既存のクライアントのレプリカへのプロモート

既存のクライアントにレプリカをインストールするには、クライアントのプロモートが承認されている必要があります。これを行うには、以下のいずれかを選択します。
特権ユーザーの認証情報を提供
デフォルトの特権ユーザーは admin です。ユーザーの認証情報を提供する方法は複数あります。以下を行うことができます。
  • IdM により、対話的に認証情報を取得するよう要求されます。
    注記
    これは、特権ユーザーの認証情報を提供するデフォルトの方法です。ipa-replica-install の実行時に認証情報がない場合は、インストールが自動的に要求されます。
  • クライアントで ipa-replica-install を実行する前に、ユーザーとしてログインします。
    $ kinit admin
  • ユーザーのプリンシパル名とパスワードを ipa-replica-install に直接追加します。
    # ipa-replica-install --principal admin --admin-password admin_password
クライアントを ipaservers ホストグループに追加します。
ipaservers のメンバーシップは、特権ユーザーの認証情報と同様の特権にマシンを昇格します。ユーザーの認証情報を指定する必要はありません。

クライアントではないマシンへのレプリカのインストール

IdM ドメインに登録されていないマシンで実行すると、ipa-replica-install は最初にマシンをクライアントとして登録してから、レプリカコンポーネントをインストールします。
この状況でレプリカをインストールするには、以下のいずれかを選択します。
特権ユーザーの認証情報を提供
デフォルトの特権ユーザーは admin です。認証情報を指定するには、プリンシパル名とパスワードを ipa-replica-install に直接追加します。
# ipa-replica-install --principal admin --admin-password admin_password
クライアントの無作為なパスワードを指定します
レプリカをインストールする前に、サーバーに無作為なパスワードを生成する必要があります。インストール時にユーザーの認証情報を提供する必要はありません。
デフォルトでは、レプリカはクライアントインストーラーで検出される最初の IdM サーバーに対してインストールされます。特定のサーバーに対してレプリカをインストールするには、ipa-replica-install に以下のオプションを追加します。
  • --server - サーバーの完全修飾ドメイン名(FQDN)
  • --domain - IdM DNS ドメイン

ipa-replica-install を使用したユースケースのレプリカの設定

オプションなしで実行すると、ipa-replica-install は基本的なサーバーサービスのみを設定します。DNS や認証局(CA) などの追加のサービスをインストールするには、ipa-replica-install にオプションを追加します。
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA 「CA のあるレプリカのインストール」
CA を 1 つのサーバーにのみインストールする場合は、CA サーバーが失敗した場合に復元できない可能性なしに CA 設定が失われるリスクがあります。詳しくは 「ラost CA サーバーの復旧」、を参照してください。
最も注目すべきオプションを持つレプリカをインストールするシナリオ例は、以下を参照してください。
レプリカの設定に使用するオプションの完全リストは、ipa-replica-install(1) の man ページを参照してください。

4.5.1. ホストキータブを使用したクライアントのレプリカへのプロモート

この手順では、既存の IdM クライアントが独自のホストキータブを使用してレプリカにプロモートし、プロモーションを承認します。
この手順では、管理者または Directory Manager(DM)の認証情報を提供する必要はありません。このため、コマンドラインで機密情報が公開されていないため、より安全です。
  1. 既存のサーバーの場合:
    1. 管理者としてログインします。
      $ kinit admin
    2. クライアントマシンを ipaservers のホストグループに追加します。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers のメンバーシップは、マシンの権限を管理者の認証情報と同様の権限に昇格します。
  2. クライアントで、ipa-replica-install ユーティリティーを実行します。
    # ipa-replica-install
  3. 必要に応じて、レプリケーションしている IdM サーバーに Active Directory との信頼がある場合は、レプリカを信頼エージェントまたは信頼コントローラーとして設定します。『詳細は、『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント 」を参照してください』。

4.5.2. 無作為パスワードを使用したレプリカのインストール

この手順では、IdM クライアントがまだないマシンに、レプリカをゼロからインストールされます。登録を承認するには、1 つのクライアント登録にのみ有効なクライアント固有の無作為なパスワードが使用されます。
この手順では、管理者または Directory Manager(DM)の認証情報を提供する必要はありません。このため、コマンドラインで機密情報が公開されていないため、より安全です。
  1. 既存のサーバーの場合:
    1. 管理者としてログインします。
      $ kinit admin
    2. 新しいマシンを IdM ホストとして追加します。ipa host-add コマンドに --random オプションを使用して、レプリカのインストールに使用される無作為なワンタイムパスワードを生成します。
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      生成されたパスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録の完了後、このパスワードは適切なホストキータブに置き換えられます。
    3. マシンを ipaservers のホストグループに追加します。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers のメンバーシップは、必要なサーバーサービスの設定に必要な特権にマシンを昇格します。
  2. レプリカをインストールするマシンで、ipa-replica-install を実行し、--password オプションを使用して無作為なパスワードを指定します。パスワードを一重引用符で囲みます(')。
    # ipa-replica-install --password 'W5YpARl=7M.n'
  3. 必要に応じて、レプリケーションしている IdM サーバーに Active Directory との信頼がある場合は、レプリカを信頼エージェントまたは信頼コントローラーとして設定します。『詳細は、『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント 」を参照してください』。

4.5.3. DNS のあるレプリカのインストール

この手順は、クライアント上にレプリカを、IdM ドメインの一部ではないマシン上にインストールします。詳しくは 「レプリカの作成: はじめに」、を参照してください。
  1. 以下のオプションを使用して ipa-replica-install を実行します。
    • --setup-dns - DNS ゾーンがない場合は作成し、レプリカを DNS サーバーとして設定します。
    • --forwarder - フォワーダーを指定します。フォワーダーを使用しない場合は --no-forwarder を指定します。
      フェイルオーバーのために複数のフォワーダーを指定するには、--forwarder を複数回使用します。
    以下に例を示します。
    # ipa-replica-install --setup-dns --forwarder 192.0.2.1
    注記
    ipa-replica-install ユーティリティーは、--no- reverse や --no- host- dns などの DNS 設定に関連する多くのオプションを受け入れます。詳細は ipa-replica-install(1) の man ページを参照してください。
  2. DNS が有効な状態で最初のサーバーを作成した場合、レプリカは適切な DNS エントリーで自動的に作成されます。このエントリーにより、IdM クライアントが新しいサーバーを検出できるようになります。
    初期サーバーに DNS が有効になっていない場合は、DNS レコードを手動で追加します。ドメインサービスには、以下の DNS レコードが必要です。
    • _ldap._tcp
    • _kerberos._tcp
    • _kerberos._udp
    • _kerberos-master._tcp
    • _kerberos-master._udp
    • _ntp._udp
    • _kpasswd._tcp
    • _kpasswd._udp
    以下の例では、エントリーが存在することを確認する方法を示しています。
    1. DOMAIN および NAMESERVER 変数に適切な値を設定します。
      # DOMAIN=example.com
      # NAMESERVER=replica
    2. 以下のコマンドを使用して DNS エントリーを確認します。
      # for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
      dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
      done | egrep "^_"
      
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
      _kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
      ...
  3. 親ドメインから IdM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが ipa.example.com の場合は、ネームサーバー(NS)レコードを親ドメイン example.com に追加します。
    重要
    この手順は、IdM DNS サーバーをインストールするたびに繰り返す必要があります。
  4. オプションですが、推奨されます。レプリカが利用できなくなった場合に、その他の DNS サーバーをバックアップサーバーとして手動で追加します。「ネームサーバーの追加設定」。これは、新しいレプリカが IdM ドメインの最初の DNS サーバーである場合、特に推奨されます。
  5. 必要に応じて、レプリケーションしている IdM サーバーに Active Directory との信頼がある場合は、レプリカを信頼エージェントまたは信頼コントローラーとして設定します。『詳細は、『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント 」を参照してください』。

4.5.4. CA のあるレプリカのインストール

この手順は、クライアント上にレプリカを、IdM ドメインの一部ではないマシン上にインストールします。詳しくは 「レプリカの作成: はじめに」、を参照してください。
  1. --setup-ca オプションを指定して ipa-replica-install を実行します。
    [root@replica ~]# ipa-replica-install --setup-ca
  2. --setup-ca オプションは、サーバーの IdM CA がルート CA であるか、または外部 CA に属するかどうかに関係なく、CA 設定を初期サーバーの設定からコピーします。
    注記
    サポートされる CA 設定の詳細は、「使用する CA 設定の決定」
  3. 必要に応じて、レプリケーションしている IdM サーバーに Active Directory との信頼がある場合は、レプリカを信頼エージェントまたは信頼コントローラーとして設定します。『詳細は、『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント 」を参照してください』。

4.5.5. CA のないサーバーからのレプリカのインストール

この手順は、クライアント上にレプリカを、IdM ドメインの一部ではないマシン上にインストールします。詳しくは 「レプリカの作成: はじめに」、を参照してください。
重要
自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。
  1. ipa-replica-install を実行して、次のオプションを追加して必要な証明書ファイルを指定します。
    • --dirsrv-cert-file
    • --dirsrv-pin
    • --http-cert-file
    • --http-pin
    以下に例を示します。
    [root@replica ~]# ipa-replica-install \
        --dirsrv-cert-file /tmp/server.crt \
        --dirsrv-cert-file /tmp/server.key \
        --dirsrv-pin secret \
        --http-cert-file /tmp/server.crt \
        --http-cert-file /tmp/server.key \
        --http-pin secret
    注記
    --ca-cert-file オプションを追加しないでください。ipa-replica-install ユーティリティーは、マスターサーバーから証明書のこの部分の情報を自動的に取得します。
  2. 必要に応じて、レプリケーションしている IdM サーバーに Active Directory との信頼がある場合は、レプリカを信頼エージェントまたは信頼コントローラーとして設定します。『詳細は、『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント 」を参照してください』。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。