Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5. レプリカの作成: 概要

ipa-replica-install ユーティリティーを使用して、既存の IdM サーバーから新しいレプリカをインストールします。Identity Management レプリカは一度に 1 つずつインストールしてください。同時に複数のレプリカをインストールすることはサポートされません。
注記
本章では、Red Hat Enterprise Linux 7.3 で導入された、レプリカの簡素化インストールについて説明します。この手順で必要なドメインレベルは 1 です (7章ドメインレベルの表示と引き上げを参照)。
ドメインレベル 0 でレプリカをインストールする方法は、付録D ドメインレベル 0 でのレプリカの管理 を参照してください。
新しいレプリカをインストールできます。
このいずれの状況でも、ipa-replica-install にオプションを追加すると、レプリカをカスタマイズできます。「ipa-replica-install を使用したユースケースに対するレプリカの設定」 を参照してください。
レプリカを非表示としてインストールするには、--hidden-replica パラメーターを ipa-replica-install に渡します。非表示のレプリカの詳細は、「非表示のレプリカモード」 を参照してください。
重要
複製中の IdM サーバーが Active Directory と信頼関係がある場合は、ipa-replica-install を実行した後にレプリカを信頼エージェントとして設定します。『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。

既存のクライアントのレプリカへのプロモート

既存のクライアントにレプリカをインストールするには、クライアントのプロモートが許可されていることを確認する必要があります。これを行うには、以下のいずれかを選択します。
特権ユーザーの認証情報を指定する
デフォルトの特権ユーザーは admin です。ユーザーの認証情報を指定する方法は複数あります。以下を行うことができます。
  • IdM により、対話的に認証情報を取得するようにプロンプトが表示されます。
    注記
    これは、特権ユーザーの認証情報を指定するデフォルトの方法です。ipa-replica-install の実行時に認証情報が利用できない場合には、インストールで自動的にプロンプトが表示されます。
  • クライアントで ipa-replica-install を実行する前にユーザーとしてログインします。
    $ kinit admin
  • ユーザーのプリンシパル名とパスワードを ipa-replica-install に直接追加します。
    # ipa-replica-install --principal admin --admin-password admin_password
クライアントを ipaservers ホストグループに追加する
ipaservers のメンバーシップは、マシンの権限を特権ユーザーの認証情報と同様の権限に昇格します。ユーザーの認証情報を指定する必要はありません。

クライアントではないマシンへのレプリカのインストール

IdM ドメインに登録されていないマシンで実行すると、ipa-replica-install は最初にマシンをクライアントとして登録してから、レプリカコンポーネントをインストールします。
この状況でレプリカをインストールするには、以下のいずれかを選択します。
特権ユーザーの認証情報を指定する
デフォルトの特権ユーザーは admin です。認証情報を指定するには、プリンシパル名とパスワードを ipa-replica-install に直接追加します。
# ipa-replica-install --principal admin --admin-password admin_password
クライアントのパスワードを無作為に指定する
レプリカをインストールする前に、サーバーで無作為のパスワードを生成する必要があります。インストール時にユーザーの認証情報を指定する必要はありません。
デフォルトでは、レプリカはクライアントインストーラーで検出された最初の IdM サーバーに対してインストールされます。特定のサーバーに対してレプリカをインストールするには、ipa-replica-install に以下のオプションを追加します。
  • --server - サーバーの完全修飾ドメイン名 (FQDN)
  • --domain - IdM DNS ドメイン

ipa-replica-install を使用したユースケースに対するレプリカの設定

オプションなしで実行すると、ipa-replica-install は基本的なサーバーサービスのみを設定します。DNS や認証局 (CA) などの追加のサービスをインストールするには、ipa-replica-install にオプションを追加します。
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。
CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「失われた CA サーバーの復旧」を参照してください。
最も主要なオプションを使用したレプリカのインストールに関するシナリオ例については以下を参照してください。
--dirsrv-config-file パラメーターを使用して、カスタム値を持つ LDIF ファイルへのパスを指定すると、デフォルトの Directory Server 設定を変更することもできます。詳細は、『Release Notes for Red Hat Enterprise Linux 7.3』のIdM now supports setting individual Directory Server options during server or replica installationを参照してください。
レプリカの設定に使用するオプションの完全リストは、ipa-replica-install(1) の man ページを参照してください。

4.5.1. ホストキータブを使用したクライアントのレプリカへのプロモート

この手順では、独自のホストキータブを使用して既存の IdM クライアントがレプリカにプロモートされ、プロモーションが認可されます。
この手順では、管理者または Directory Manager (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインで公開されないため、安全性が向上します。
  1. 既存のサーバーの場合:
    1. 管理者としてログインします。
      $ kinit admin
    2. クライアントマシンを ipaservers ホストグループに追加します。
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers のメンバーシップは、マシンの権限を管理者の認証情報と同様の権限に昇格します。
  2. クライアントで ipa-replica-install ユーティリティーを実行します。
    # ipa-replica-install
  3. オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。