Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.3. レプリカおよびレプリカ合意の管理

本章では、レプリカ合意の詳細と、その管理方法を説明します。
注記
追加のレプリカ合意を設定する際のガイドラインは、「レプリカトポロジーの推奨事項」 を参照してください。

D.3.1. レプリカ合意の説明

レプリカは、データをコピーするレプリカ合意で結合されます。レプリカ合意は双方向です。最初のレプリカからサーバーから別のレプリカにデータが複製されるだけでなく、別ののレプリカから最初のレプリカにもデータが複製されます。
注記
最初のレプリカ合意は、ipa-replica-install スクリプトにより 2 つのレプリカ間で設定されます。初期レプリカのインストールの詳細は、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

レプリカ合意のタイプ

Identity Management は、以下の 3 種類のレプリカ合意に対応します。
  • ユーザー、グループ、ポリシーなどのディレクトリーデータを複製するレプリカ合意。このような合意は、ipa-replica-manage ユーティリティーを使用して管理できます。
  • 証明書サーバーのデータを複製するレプリカ合意。このような合意は、ipa-csreplica-manage ユーティリティーを使用して管理できます。
  • ユーザー情報を Active Directory サーバーと複製する同期合意。この合意については、本書では扱っていません。IdM および Active Directory の同期に関するドキュメントは、『Windows 統合ガイド』 の Active Directory および Identity Management ユーザーの同期 を参照してください。
ipa-replica-manage ユーティリティーと ipa-csreplica-manage ユーティリティーでは、同じ形式と引数が使用されます。本章の以下のセクションでは、このユーティリティーを使用して実行する最も注目すべきレプリケーション管理操作を説明します。ユーティリティーの詳細は、ipa-replica-manage(1) および ipa-csreplica-manage(1) の man ページを参照してください。

D.3.2. レプリカ合意のリスト表示

現在レプリカに設定されているディレクトリーデータのレプリカ合意のリストを表示するには、ipa-replica-manage list を実行します。
  1. 引数を指定せずに ipa-replica-manage list を実行して、レプリケーショントポロジー内のすべてのレプリカをリスト表示します。この出力で、必要なレプリカを特定します。
    $ ipa-replica-manage list
    server1.example.com: master
    server2.example.com: master
    server3.example.com: master
    server4.example.com: master
  2. レプリカのホスト名をipa-replica-manage list に追加し、レプリカ合意をリスト表示します。
    $ ipa-replica-manage list server1.example.com
    server2.example.com: replica
    server3.example.com: replica
    この出力には、server1.example.com が更新を送信するレプリカが表示されます。
証明書サーバーのレプリカ合意のリストを表示するには、ipa-csreplica-manage list を使用します。

D.3.3. レプリカ合意の作成と削除

レプリカ合意の作成

新しいレプリカ合意を作成するには、ipa-replica-manage connect コマンドを使用します。
$ ipa-replica-manage connect server1.example.com server2.example.com
このコマンドは、server1.example.com から server2.example.comserver2.example.com から server1.example.com に向かう新しい双方向レプリカ合意を作成します。
ipa-replica-manage connect でサーバーを 1 つだけ指定すると、IdM はローカルホストと、指定されたサーバーとの間にレプリカ合意を作成します。
新しい証明書サーバーのレプリカ合意を作成するには、ipa-csreplica-manage connect コマンドを使用します。

レプリカ合意の削除

レプリカ合意を削除するには、ipa-replica-manage disconnect コマンドを使用します。
$ ipa-replica-manage disconnect server1.example.com server4.example.com
このコマンドは、server1.example.com から server4.example.com へ、server4.example.com から server1.example.com へのレプリケーションを無効にします。
ipa-replica-manage disconnect は、レプリカ合意のみを削除します。これにより、両方のサーバーが Identity Management レプリケーショントポロジーに残ります。すべてのレプリカ合意と、レプリカ関連のデータを削除するには、ipa-replica-manage del コマンドを使用します。これにより、レプリカが Identity Management ドメインから完全に削除されます。
$ ipa-replica-manage del server2.example.com
証明書サーバーのレプリカ合意を削除するには、ipa-csreplica-manage disconnect コマンドを使用します。同様に、2 台のサーバー間ですべての証明書のレプリカ合意およびデータを削除する場合は、ipa-csreplica-manage del を使用します。

D.3.4. 手動レプリケーション更新の開始

直接レプリカ合意が直接、結ばれているレプリカ間でのデータ変更は、ほぼ即座に複製されます。ただし、直接レプリカ合意ぶ参加していないレプリカは、更新は即座に受け取りません。
状況によっては、計画外のレプリケーション更新を手動で開始する必要があります。たとえば、レプリカをオフラインにしてメンテナンスする前に、計画更新待ちのキューに入っていた変更をすべて、別のレプリカに送信する必要があります。この状況では、レプリカをオフラインにする前に、手動のレプリケーション更新を開始できます。
レプリケーションの更新を手動で開始するには、ipa-replica-manage force-sync コマンドを使用します。コマンドを実行するローカルホストは、更新を受信するレプリカです。更新を送信するレプリカを指定するには、--from を使用します。
$ ipa-replica-manage force-sync --from server1.example.com
証明書サーバーデータのレプリケーション更新を開始するには、ipa-csreplica-manage force-sync コマンドを使用します。

D.3.5. レプリカの再初期化

レプリカが長時間オフラインになっている場合や、データベースが破損している場合は、再初期化できます。再初期化は、「レプリカの作成: 概要」 で説明されている初期化と似ています。再初期化でじゃ、更新されたデータセットでレプリカを更新します。たとえば、バックアップからの権限のある復元を行う必要がある場合に、再初期化を使用できます。
注記
通常のレプリケーション更新待ちや、手動のレプリケーション更新の開始をしても、このような状況には役に立ちません。このレプリカの更新時には、レプリカは変更されたエントリーのみを互いに送信します。再初期化とは異なり、レプリケーションの更新ではデータベース全体が更新されません。
レプリカでデータレプリカ合意 (data replication agreement) を再初期化するには、ipa-replica-manage re-initialize を使用します。コマンドを実行するローカルホストは、再初期化されたレプリカです。データの取得元となるレプリカを指定するには、--from オプションを使用します。
$ ipa-replica-manage re-initialize --from server1.example.com
証明書サーバーのレプリカ合意を初期化しなおすには、ipa-csreplica-manage re-initialize コマンドを使用します。

D.3.6. レプリカの削除

レプリカを削除または降格すると、トポロジーから IdM レプリカが削除されるため、IdM 要求を処理できなくなります。また、ホストマシン自体も IdM ドメインから削除します。
レプリカを削除するには、レプリカで以下の手順を実行します。
  1. IdM ドメインのレプリカ合意をすべてリスト表示します。この出力では、レプリカのホスト名を書き留めておきます。
    $ ipa-replica-manage list
    server1.example.com: master
    server2.example.com: master
    server3.example.com: master
    server4.example.com: master
  2. ipa-replica-manage del コマンドを使用して、レプリカに設定したすべての合意と、レプリカに関するすべてのデータを削除します。
    $ ipa-replica-manage del server3.example.com
  3. レプリカが独自の CA を使用して設定されている場合は、ipa-csreplica-manage del コマンドを使用して、すべての証明書サーバーのレプリカ合意を削除します。
    $ ipa-csreplica-manage del server3.example.com
    注記
    この手順は、レプリカ自体が IdM CA で設定されている場合にのみ必要です。マスターサーバーまたは他のレプリカのみが CA で設定されていた場合は必要ありません。
  4. IdM サーバーパッケージをアンインストールします。
    $ ipa-server-install --uninstall -U