4.5. レプリカの作成: 概要

ipa-replica-install ユーティリティーを使用して、既存の IdM サーバーから新しいレプリカをインストールします。

注記

本章は Red Hat Enterprise Linux 7.3 で導入された簡単なレプリカインストールの方法について説明します。この手順ではドメインレベル 1 (7章ドメインレベルの表示と引き上げを参照) が必要です。
ドメインレベル 0 でのレプリカのインストールに関するドキュメントは付録D ドメインレベル 0 でのレプリカの管理を参照してください。
以下に、新規レプリカをインストールできます。
いずれの場合でも ipa-replica-install にオプションを追加することでレプリカをカスタマイズできます (「ユースケースに適したレプリカの設定の際に ipa-replica-install を使用する方法」参照)。

重要

複製する IdM サーバーに Active Directory とのトラストがある場合は、ipa-replica-install を実行してからトラストエージェントとしてレプリカを設定します。『Windows 統合ガイド』の「信頼コントローラーおよび信頼エージェント」を参照してください。

既存のクライアントからレプリカへのプロモート

既存のクライアントにレプリカをインストールするには、クライアントのプロモートが認証されていることを確認する必要があります。これには、以下のいずれかを選択します。
特権ユーザーの認証情報を指定
デフォルトの特権ユーザーは admin です。ユーザーの認証情報を提示する方法は複数あります。
  • IdM がプロンプトで対話式に認証情報を求める方法

    注記

    これは特権ユーザーの認証情報を指定するデフォルトの方法です。ipa-replica-install の実行時に認証情報が提示されていない場合には、インストールの際に自動的にプロンプトが表示されます。
  • クライアントで ipa-replica-install を実行する前にユーザーとしてログインします。
    $ kinit admin
  • ユーザーのプリンシパル名とパスワードを ipa-replica-install に直接追加する方法
    # ipa-replica-install --principal admin --admin-password admin_password
ipaservers ホストグループへのクライアントの追加
ipaservers のメンバーは、特権ユーザーの認証情報とよく似た特権にマシンを昇格します。ユーザーの認証情報を指定する必要はありません。

クライアントでないマシンへのレプリカのインストール

IdM ドメインに登録されていないマシン上で実行する場合は ipa-replica-install では最初にクライアントとしてマシンを登録してから、レプリカのコンポーネントをインストールします。
この状況でレプリカをインストールするには、以下のいずれかを実行します。
特権ユーザーの認証情報を指定
デフォルトの特権ユーザーは admin です。認証情報を指定するには、プリンシパル名とパスワードを ipa-replica-install に直接追加します。
# ipa-replica-install --principal admin --admin-password admin_password
クライアントの任意パスワードの指定
レプリカをインストールする前にサーバーで無作為のパスワードを生成する必要があります。インストール時にはユーザーの認証情報を指定する必要はありません。
デフォルトでは、クライアントのインストーラーが最初に検出した IdM サーバーにレプリカはインストールされます。特定のサーバーにレプリカをインストールするには、ipa-replica-install に以下のオプションを追加します。
  • --server: サーバーの完全修飾ドメイン名 (FQDN)
  • --domain: IdM DNS ドメイン

ユースケースに適したレプリカの設定の際に ipa-replica-install を使用する方法

オプションなしで ipa-replica-install を実行すると、基本的なサーバーサービスのみが設定されます。DNS および証明局 (CA) などの追加のサービスをインストールするには ipa-replica-install にオプションを追加します。

警告

Red Hat では、複数のサーバーに CA サービスをインストールしておくことを強く推奨しています。CA サービスを含む最初のサーバーのレプリカをインストールする方法についての情報は、「CA を設定したレプリカのインストール」 を参照してください。
CA が 1 つのサーバーにしかインストールされていないと、CA サーバーが故障した際に CA 設定が失われて回復できない恐れがあります。詳細については、「失われた CA サーバーの復旧」 を参照してください。
主要なオプションを使用してレプリカをインストールするシナリオ例については、以下を参照してください。
レプリカの設定に使用するオプションの完全な一覧については ipa-replica-install(1) の man ページを参照してください。

4.5.1. ホストの keytab を使用してレプリカにクライアントをプロモートする方法

この手順では、プロモートを許可する独自のホスト keytab を使用して、既存の IdM クライアントをレプリカにプロモートします。
以下の手順では、管理者またはディレクトリーマネージャー (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインに公開されないので、よりセキュリティーが高くなります。
  1. 既存のサーバー上で:
    1. 管理者としてログインします。
      $ kinit admin
    2. クライアントマシンを ipaservers のホストグループに追加します。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers のメンバーは、管理者の認証情報とよく似た特権にマシンを昇格します。
  2. クライアント上で ipa-replica-install ユーティリティーを実行します。
    # ipa-replica-install

4.5.2. 無作為のパスワードを使用したレプリカのインストール

この手順では、レプリカは IdM クライアントとしてまだ設定されていないマシンを最初からインストールします。登録を認証するには、クライアントの登録 1 回だけ有効な、クライアント固有の無作為パスワードを使用します。
以下の手順では、管理者またはディレクトリーマネージャー (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインに公開されないので、よりセキュリティーが高くなります。
  1. 既存のサーバー上で:
    1. 管理者としてログインします。
      $ kinit admin
    2. IdM ホストとして新規マシンを追加します。--random オプションを指定して ipa host-add コマンドを使用して、レプリカのインストールに使用する無作為のワンタイムパスワードを生成します。
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      生成パスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録が完了すると正しいホストの keytab に置き換えられます。
    3. マシンを ipaservers のホストグループに追加します。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers のメンバーは、必須サーバーサービスの設定に必要な特権にマシンを昇格します。
  2. レプリカのインストール先のマシンで ipa-replica-install を実行して、--password オプションを使用して無作為パスワードを指定します。特殊文字が含まれることが多いので、一重引用符 (') でパスワードを括るようにしてください。
    # ipa-replica-install --password 'W5YpARl=7M.n'

4.5.3. DNS ありのレプリカのインストール

以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。
  1. 以下のオプションを指定して ipa-replica-install を実行します。
    • --setup-dns は、存在しない場合には DNS ゾーンを作成して、DNS サーバーとしてレプリカを設定します。
    • --forwarder はフォワーダーを指定します。フォワーダーを使用しない場合には --no-forwarder を指定します。
      フェールオーバーに対応するために複数のフォワーダーを指定するには --forwarder を複数回使用します。
    例を示します。
    # ipa-replica-install --setup-dns --forwarder 192.0.2.1

    注記

    ipa-replica-install ユーティリティーは、--no-reverse または --no-host-dns など、DNS 設定関連する、その他の複数のオプションに対応します。詳しい情報は ipa-replica-install(1) の man ページを参照してください。
  2. DNS を有効にして最初のサーバーを作成した場合には、適切な DNS エントリーを使用して自動的にレプリカが作成されます。これらのエントリーにより、IdM クライアントは新規サーバーを検出できるようになります。
    DNS を有効にせずに最初のサーバーを作成した場合には、手動で DNS レコードを追加します。以下の DNS レコードがドメインサービスに必要です。
    • _ldap._tcp
    • _kerberos._tcp
    • _kerberos._udp
    • _kerberos-master._tcp
    • _kerberos-master._udp
    • _ntp._udp
    • _kpasswd._tcp
    • _kpasswd._udp
    以下の例では、エントリーの存在を確認する方法を説明します。
    1. DOMAIN および NAMESERVER 変数に適切な値を設定します。
      # DOMAIN=example.com
      # NAMESERVER=replica
    2. 以下のコマンドを使用して、DNS エントリーの有無を確認します。
      # for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
      dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
      done | egrep "^_"
      
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
      _kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
      ...
  3. オプションであるが推奨: レプリカが利用できないときのために、バックアップサーバーとして他の DNS サーバーを手動で追加してください。「ネームサーバーの追加設定」を参照してください。これは、新規レプリカが IdM ドメインで最初の DNS サーバーの場合には特に推奨されます。

4.5.4. CA を設定したレプリカのインストール

以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。
  1. --setup-ca オプションを指定して、ipa-replica-install を実行します。
    [root@replica ~]# ipa-replica-install --setup-ca
  2. サーバー上の IdM CA が root CA でも、外部の CA に従属する CA の場合でも、--setup-ca オプションを指定すると、最初のサーバーの設定から CA 設定がコピーされます。

    注記

    サポートされる CA 設定に関する詳細は「CA 設定の決定」を参照してください。

4.5.5. CA がインストールされていないサーバーからのレプリカのインストール

以下の手順は、まだ IdM ドメインに含まれないマシンやクライアントにレプリカをインストールする際に使用します。詳細は「レプリカの作成: 概要」を参照してください。

重要

サードパーティーの自己署名サーバー証明書を使用して、サーバーまたはレプリカをインストールできまん。
  • ipa-replica-install を実行して、以下のオプションを追加して必要な証明書ファイルを指定します。
    • --dirsrv-cert-file
    • --dirsrv-pin
    • --http-cert-file
    • --http-pin
    これらのオプションを使用して指定するファイルに関する詳細は「CA なしでのインストール」を参照してください。
    例を示します。
    [root@replica ~]# ipa-replica-install \
        --dirsrv-cert-file /tmp/server.crt \
        --dirsrv-cert-file /tmp/server.key \
        --dirsrv-pin secret \
        --http-cert-file /tmp/server.crt \
        --http-cert-file /tmp/server.key \
        --http-pin secret

    注記

    --ca-cert-file オプションを追加しないでください。ipa-replica-install ユーティリティーは、マスターサーバーから証明書のこの部分の情報を自動的に取得します。