Show Table of Contents
4.5. レプリカの作成: 概要
ipa-replica-install ユーティリティーを使用して、既存の IdM サーバーから新しいレプリカをインストールします。
注記
本章は Red Hat Enterprise Linux 7.3 で導入された簡単なレプリカインストールの方法について説明します。この手順ではドメインレベル 1 (7章ドメインレベルの表示と引き上げを参照) が必要です。
ドメインレベル 0 でのレプリカのインストールに関するドキュメントは付録D ドメインレベル 0 でのレプリカの管理を参照してください。
以下に、新規レプリカをインストールできます。
- 既存の IdM クライアント。クライアントをレプリカに プロモート してください (「既存のクライアントからレプリカへのプロモート」参照)。
- IdM ドメインに登録されていないマシン (「クライアントでないマシンへのレプリカのインストール」参照)。
いずれの場合でも
ipa-replica-install にオプションを追加することでレプリカをカスタマイズできます (「ユースケースに適したレプリカの設定の際に ipa-replica-install を使用する方法」参照)。
重要
複製する IdM サーバーに Active Directory とのトラストがある場合は、
ipa-replica-install を実行してからトラストエージェントとしてレプリカを設定します。『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント」を参照してください。
既存のクライアントからレプリカへのプロモート
既存のクライアントにレプリカをインストールするには、クライアントのプロモートが認証されていることを確認する必要があります。これには、以下のいずれかを選択します。
- 特権ユーザーの認証情報を指定
- デフォルトの特権ユーザーは
adminです。ユーザーの認証情報を提示する方法は複数あります。- IdM がプロンプトで対話式に認証情報を求める方法
注記
これは特権ユーザーの認証情報を指定するデフォルトの方法です。ipa-replica-installの実行時に認証情報が提示されていない場合には、インストールの際に自動的にプロンプトが表示されます。 - クライアントで
ipa-replica-installを実行する前にユーザーとしてログインします。$ kinit admin
- ユーザーのプリンシパル名とパスワードを
ipa-replica-installに直接追加する方法# ipa-replica-install --principal admin --admin-password admin_password
ipaserversホストグループへのクライアントの追加ipaserversのメンバーは、特権ユーザーの認証情報とよく似た特権にマシンを昇格します。ユーザーの認証情報を指定する必要はありません。
クライアントでないマシンへのレプリカのインストール
IdM ドメインに登録されていないマシン上で実行する場合は
ipa-replica-install では最初にクライアントとしてマシンを登録してから、レプリカのコンポーネントをインストールします。
この状況でレプリカをインストールするには、以下のいずれかを実行します。
- 特権ユーザーの認証情報を指定
- デフォルトの特権ユーザーは
adminです。認証情報を指定するには、プリンシパル名とパスワードをipa-replica-installに直接追加します。# ipa-replica-install --principal admin --admin-password admin_password
- クライアントの任意パスワードの指定
- レプリカをインストールする前にサーバーで無作為のパスワードを生成する必要があります。インストール時にはユーザーの認証情報を指定する必要はありません。
デフォルトでは、クライアントのインストーラーが最初に検出した IdM サーバーにレプリカはインストールされます。特定のサーバーにレプリカをインストールするには、
ipa-replica-install に以下のオプションを追加します。
--server: サーバーの完全修飾ドメイン名 (FQDN)--domain: IdM DNS ドメイン
ユースケースに適したレプリカの設定の際に ipa-replica-install を使用する方法
オプションなしで
ipa-replica-install を実行すると、基本的なサーバーサービスのみが設定されます。DNS および証明局 (CA) などの追加のサービスをインストールするには ipa-replica-install にオプションを追加します。
警告
Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。
主要なオプションを使用してレプリカをインストールするシナリオ例については、以下を参照してください。
- 「CA を設定したレプリカのインストール」:
--setup-caの使用 - 「CA がインストールされていないサーバーからのレプリカのインストール」:
--dirsrv-cert-file、--dirsrv-pin、--http-cert-fileおよび--http-pinの使用
レプリカの設定に使用するオプションの完全な一覧については ipa-replica-install(1) の man ページを参照してください。
4.5.1. ホストの keytab を使用してレプリカにクライアントをプロモートする方法
この手順では、プロモートを許可する独自のホスト keytab を使用して、既存の IdM クライアントをレプリカにプロモートします。
以下の手順では、管理者またはディレクトリーマネージャー (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインに公開されないので、よりセキュリティーが高くなります。
- 既存のサーバー上で:
- 管理者としてログインします。
$ kinit admin
- クライアントマシンを
ipaserversのホストグループに追加します。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaserversのメンバーは、管理者の認証情報とよく似た特権にマシンを昇格します。
- クライアント上で
ipa-replica-installユーティリティーを実行します。# ipa-replica-install
4.5.2. 無作為のパスワードを使用したレプリカのインストール
この手順では、レプリカは IdM クライアントとしてまだ設定されていないマシンを最初からインストールします。登録を認証するには、クライアントの登録 1 回だけ有効な、クライアント固有の無作為パスワードを使用します。
以下の手順では、管理者またはディレクトリーマネージャー (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインに公開されないので、よりセキュリティーが高くなります。
- 既存のサーバー上で:
- 管理者としてログインします。
$ kinit admin
- IdM ホストとして新規マシンを追加します。
--randomオプションを指定してipa host-addコマンドを使用して、レプリカのインストールに使用する無作為のワンタイムパスワードを生成します。$ ipa host-add client.example.com --random -------------------------------------------------- Added host "client.example.com" -------------------------------------------------- Host name: client.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.example.com生成パスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録が完了すると正しいホストの keytab に置き換えられます。 - マシンを
ipaserversのホストグループに追加します。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaserversのメンバーは、必須サーバーサービスの設定に必要な特権にマシンを昇格します。
- レプリカのインストール先のマシンで
ipa-replica-installを実行して、--passwordオプションを使用して無作為パスワードを指定します。特殊文字が含まれることが多いので、一重引用符 (') でパスワードを括るようにしてください。# ipa-replica-install --password 'W5YpARl=7M.n'
4.5.3. DNS ありのレプリカのインストール
以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。
- 以下のオプションを指定して
ipa-replica-installを実行します。--setup-dnsは、存在しない場合には DNS ゾーンを作成して、DNS サーバーとしてレプリカを設定します。--forwarderはフォワーダーを指定します。フォワーダーを使用しない場合には--no-forwarderを指定します。フェールオーバーに対応するために複数のフォワーダーを指定するには--forwarderを複数回使用します。
例を示します。# ipa-replica-install --setup-dns --forwarder 192.0.2.1
注記
ipa-replica-installユーティリティーは、--no-reverseまたは--no-host-dnsなど、DNS 設定関連する、その他の複数のオプションに対応します。詳しい情報は ipa-replica-install(1) の man ページを参照してください。 - DNS を有効にして最初のサーバーを作成した場合には、適切な DNS エントリーを使用して自動的にレプリカが作成されます。これらのエントリーにより、IdM クライアントは新規サーバーを検出できるようになります。DNS を有効にせずに最初のサーバーを作成した場合には、手動で DNS レコードを追加します。以下の DNS レコードがドメインサービスに必要です。
_ldap._tcp_kerberos._tcp_kerberos._udp_kerberos-master._tcp_kerberos-master._udp_ntp._udp_kpasswd._tcp_kpasswd._udp
以下の例では、エントリーの存在を確認する方法を説明します。- DOMAIN および NAMESERVER 変数に適切な値を設定します。
# DOMAIN=example.com # NAMESERVER=replica
- 以下のコマンドを使用して、DNS エントリーの有無を確認します。
# for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority done | egrep "^_" _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server1.example.com. _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server2.example.com. _kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server1.example.com. ...
- オプションであるが推奨: レプリカが利用できないときのために、バックアップサーバーとして他の DNS サーバーを手動で追加してください。「ネームサーバーの追加設定」を参照してください。これは、新規レプリカが IdM ドメインで最初の DNS サーバーの場合には特に推奨されます。
4.5.4. CA を設定したレプリカのインストール
以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。
--setup-caオプションを指定して、ipa-replica-installを実行します。[root@replica ~]# ipa-replica-install --setup-ca
- サーバー上の IdM CA が root CA でも、外部の CA に従属する CA の場合でも、
--setup-caオプションを指定すると、最初のサーバーの設定から CA 設定がコピーされます。注記
サポートされる CA 設定に関する詳細は「CA 設定の決定」を参照してください。
4.5.5. CA がインストールされていないサーバーからのレプリカのインストール
以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。
重要
サードパーティーの自己署名サーバー証明書を使用して、サーバーまたはレプリカをインストールできまん。
ipa-replica-installを実行して、以下のオプションを追加して必要な証明書ファイルを指定します。--dirsrv-cert-file--dirsrv-pin--http-cert-file--http-pin
これらのオプションを使用して指定するファイルに関する詳細は「CA なしでのインストール」を参照してください。例を示します。[root@replica ~]# ipa-replica-install \ --dirsrv-cert-file /tmp/server.crt \ --dirsrv-cert-file /tmp/server.key \ --dirsrv-pin secret \ --http-cert-file /tmp/server.crt \ --http-cert-file /tmp/server.key \ --http-pin secret注記
--ca-cert-fileオプションを追加しないでください。ipa-replica-installユーティリティーは、マスターサーバーから証明書のこの部分の情報を自動的に取得します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.