Red Hat Training

A Red Hat training course is available for Red Hat Linux

D.3. レプリカとレプリカ合意の管理

本セクションでは、レプリカ合意とその管理方法について説明します。

注記

新たなレプリカ合意をセットアップするガイドラインについては、「レプリカトポロジーの推奨事項」 を参照してください。

D.3.1. レプリカ合意についての説明

レプリカ合意 は、参加するレプリカ間でのデータのコピーです。レプリカ合意は双方向のものです。1 台目のレプリカから 2 台目のレプリカにデータが複製されるほかに、2 台目のレプリカから 1 台目のレプリカにもデータが複製されます。

注記

初期のレプリカ合意は、ipa-replica-install スクリプトが 2 つのレプリカ間にセットアップします。最初のレプリカのインストールについては、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

レプリカ合意のタイプ

Identity Management は、以下の 3 つのタイプのレプリカ合意をサポートしています。
  • ユーザー、グループ、およびポリシーなどのディレクトリーデータを複製するレプリカ合意。これらの合意は、ipa-replica-manage ユーティリティーで管理します。
  • 証明書サーバーデータを複製するレプリカ合意。これらの合意は、ipa-csreplica-manage ユーティリティーで管理します。
  • Active Directory サーバーとユーザー情報を複製する同期合意。この合意については、本書では説明していません。IdM と Active Directory との同期に関するドキュメントについては、Windows 統合ガイド を参照してください。
ipa-replica-manageipa-csreplica-manage では、同じ形式と引数を使用します。以下のセクションでは、これらのユーティリティーを使用して実行するレプリカ管理のうち、特に重要な操作を取り上げます。これらのユーティリティーについての詳細情報は、ipa-replica-manage(1)ipa-csreplica-manage(1) の man ページを参照してください。

D.3.2. レプリカ合意の一覧表示

あるレプリカで現在設定されているディレクトリーデータのレプリカ合意を一覧表示するには、ipa-replica-manage list コマンドを使用します。
  1. ipa-replica-manage list を引数なしで実行すると、レプリカトポロジー内の全レプリカが一覧表示されます。出力で、必要なレプリカを見つけます。
    $ ipa-replica-manage list
    server1.example.com: master
    server2.example.com: master
    server3.example.com: master
    server4.example.com: master
  2. レプリカのホスト名を ipa-replica-manage list に追加して実行すると、レプリカ合意が一覧表示されます。
    $ ipa-replica-manage list server1.example.com
    server2.example.com: replica
    server3.example.com: replica
    この出力では、server1.example.com が更新を送信する宛先が表示されています。
証明書サーバーのレプリカ合意を一覧表示するには ipa-csreplica-manage list コマンドを使用します。

D.3.3. 複製合意の作成と削除

レプリカ同意の作成

新規のレプリカ合意を作成するには、ipa-replica-manage connect コマンドを使用します。
$ ipa-replica-manage connect server1.example.com server2.example.com
このコマンドで server1.example.com から server2.example.com へ、および server2.example.com から server1.example.com への双方向の新規レプリカ合意が作成されます。
ipa-replica-manage connect で 1 つのサーバーだけを指定知ると、IdM はローカルホストとその指定されたサーバー間のレプリカ合意を作成します。
証明書サーバーのレプリカ合意を新規作成するには ipa-csreplica-manage connect コマンドを使用します。

複製合意の削除

レプリカ合意を削除するには、ipa-replica-manage disconnect コマンドを使用します。
$ ipa-replica-manage disconnect server1.example.com server4.example.com
このコマンドで server1.example.com から server4.example.com へ、および server4.example.com から server1.example.com へのレプリケーションが無効になります。
ipa-replica-manage disconnect コマンドは、レプリカ合意が削除されるだけです。Identity Management レプリカトポロジー内のサーバーはどちらも残されたままです。すべてのレプリカ合意とレプリカに関するデータを削除するには、ipa-replica-manage del コマンドを使用します。これで Identity Management ドメインからレプリカが完全に削除されます。
$ ipa-replica-manage del server2.example.com
証明書サーバーのレプリカ合意を削除するには、ipa-csreplica-manage disconnect コマンドを使用します。同様に、2 つのサーバー間証明書合意とデータすべてを削除するには、ipa-csreplica-manage del コマンドを使用します。

D.3.4. 手動によるレプリカ更新の開始

直接のレプリカ合意のあるレプリカ間におけるデータ変更は、ほぼ即座に複製されます。ただし、直接のレプリカ合意に参加していないレプリカは、更新を即座には受け取りません。
場合によっては、予定外のレプリカ更新を手動で開始する必要があることもあります。たとえば、メンテナンスのためにレプリカをオフラインにする前に、予定の更新までキュー待ちとなっていた変更はすべて、1 つ以上の他のレプリカに送信する必要があります。このような場合、レプリカをオフラインにする前に、手動によるレプリカ更新を開始することができます。
手動によるレプリカ更新を開始するには、ipa-replica-manage force-sync コマンドを使用します。このコマンドを実行するローカルホストは、更新を受け取るレプリカになります。更新の送信先となるレプリカを指定するには、--from オプションを使用します。
$ ipa-replica-manage force-sync --from server1.example.com
証明書サーバーのデータのレプリカ更新を開始するには、ipa-csreplica-manage force-sync コマンドを使用します。

D.3.5. レプリカの再初期化

レプリカが長期間オフラインだった場合やそのデータベースが破損してしまった場合は、これを 再初期化 することができます。これは初期化に類似したもので、初期化については 「レプリカの作成: 概要」 で説明しています。再初期化を実行すると、レプリカは更新されたデータでリフレッシュされます。

注記

この状況では、予定されているレプリカ更新や手動によるレプリカ更新は役に立ちません。これらのレプリカ更新では、レプリカは変更されたエントリーを相互に送信するだけで、再初期化とは違い、データベース全体のリフレッシュは行われません。
レプリカ上のデータレプリカ合意を再初期化するには、ipa-replica-manage re-initialize コマンドを使用します。このコマンドを実行するローカルホストは、再初期化されるレプリカになります。データの取得元となるレプリカを指定するには、--from オプションを使用します。
$ ipa-replica-manage re-initialize --from server1.example.com
証明書サーバーのレプリカ合意を再初期化するには ipa-csreplica-manage re-initialize コマンドを使用します。

D.3.6. レプリカの削除

レプリカを削除または 降格 すると、トポロジーから IdM レプリカが削除されるので、IdM リクエストを処理しなくなります。また、IdM ドメインからホストマシン自体も削除されます。
レプリカを削除するには、レプリカ上で以下のステップを実行します。
  1. IdM ドメインの全レプリカ合意を一覧表示します。出力にあるレプリカのホスト名を書き留めます。
    $ ipa-replica-manage list
    server1.example.com: master
    server2.example.com: master
    server3.example.com: master
    server4.example.com: master
  2. ipa-replica-manage del コマンドを使って当該レプリカ用に設定された全合意とそのレプリカについての全データを削除します。
    $ ipa-replica-manage del server3.example.com
  3. レプリカがそれ自体の CA で設定されていた場合は ipa-csreplica-manage del コマンドも使用して証明書サーバーのレプリカ合意もすべて削除します。
    $ ipa-csreplica-manage del server3.example.com

    注記

    このステップは、レプリカ自体が IdM CA で設定されていた場合にのみ必要となります。マスターサーバーまたは他のレプリカのみが CA で設定されていた場合は必要ありません。
  4. IdM サーバーパッケージをアンインストールします。
    $ ipa-server-install --uninstall -U