6.5. サーバーロールの管理

IdM サーバーは、インストールされているサービスを基に、CA サーバー、DNS サーバー、またはキー回復機関 (KRA) サーバーなどの各種の サーバーロール を実行することができます。

6.5.1. サーバーロールの表示

Web UI: サーバーロールの表示

サポートされるサーバーロールの全一覧を確認するには、IPA ServerTopologyServer Roles をクリックします。
  • Role status が absent の場合は、トポロジー内でそのロールを実行しているサーバーがないことを示しています。
  • Role status が enabled の場合は、トポロジー内でそのロールを実行しているサーバーが 1 台以上あることを示しています。
Web UI でのサーバーロール

図6.14 Web UI でのサーバーロール

コマンドライン: サーバーロールの表示

ipa config-show コマンドを実行すると、すべての CA サーバー、NTP サーバー、および現行の CA 更新マスターが表示されます。
$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA NTP servers: server1.example.com, server2.example.com, server3.example.com
  IPA CA renewal master: server1.example.com
ipa server-show コマンドを実行すると、特定サーバーで有効になっているロール一覧が表示されます。たとえば、server.example.com で有効になっているロールを表示するには、以下を実行します。
$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole は、特定のサーバーロールが有効になっているサーバーを検索します。たとえば、CA サーバーを検索するには、以下を実行します。
$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------

6.5.2. レプリカのマスター CA サーバーへのプロモート

注記

本セクションでは、ドメインレベル 1 の CA 更新マスターの変更について説明しています (7章ドメインレベルの表示と引き上げ を参照)。ドメインレベル 0 での CA 更新マスターの変更については、「レプリカのマスター CA サーバーへのプロモート」 を参照してください。
IdM デプロイメントが埋め込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。マスター CA は、CA サブシステム証明書の更新を管理し、証明書失効リスト (CRL) を生成します。デフォルトでは、マスター CA は、システム管理者が ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーになります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモートして、新規 CA 更新マスターとします。
  1. レプリカが CA サブシステムの証明書更新を処理するよう設定します。
  2. レプリカが CRL を生成するように設定します。「CRL を生成するサーバーの変更」 を参照してください。
  3. 今までのマスター CA サーバーの使用を停止する前に、新規マスターが正常に機能することを確認します。「新規マスター CA サーバーの設定確認」 を参照してください。

6.5.2.1. 現行 CA 更新マスターの変更

Web UI: 現行 CA 更新マスターの変更

  1. IPA ServerConfiguration を選択します。
  2. IPA CA renewal master フィールドで、新規 CA 更新マスターを選択します。

コマンドライン: 現行 CA 更新マスターの変更

ipa config-mod --ca-renewal-master-server コマンドを使用します。
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com
出力で更新が成功したことを確認します。

6.5.2.2. CRL を生成するサーバーの変更

証明書失効リスト (CRL) を生成するサーバーを変更するには、以下を行います。
  1. 現在の CRL 生成マスターが分からない場合は、各 IdM 認証局 (CA) で ipa-crlgen-manage status コマンドを使用して、CRL 生成が有効になっているかどうかを確認します。
    # ipa-crlgen-manage status
    CRL generation: enabled
  2. 現在の CRL 生成マスターで、この機能を無効にします。
    # ipa-crlgen-manage disable
  3. 新しい CRL 生成マスターとして設定するその他の CA ホストで、この機能を有効にします。
    # ipa-crlgen-manage enable

6.5.2.3. 新規マスター CA サーバーの設定確認

/var/lib/ipa/pki-ca/publish/MasterCRL.bin ファイルが新規マスター CA サーバーにあることを確認します。
このファイルは、/etc/pki/pki-tomcat/ca/CS.cfg ファイルで定義されている間隔を基に、ca.crl.MasterCRL.autoUpdateInterval パラメーターを使って生成されます。デフォルト値は、240 分 (4 時間) です。

注記

ca.crl.MasterCRL.autoUpdateInterval パラメーターを更新する場合、この変更は、既にスケジュール設定されている次の CRL の更新後に有効になります。
このファイルが存在すれば、新規マスター CA サーバーは正常に設定されているので、以前の CA マスターシステムを安全に閉鎖できます。

6.5.3. 非表示レプリカの降格と昇格

レプリカのインストール後は、レプリカの可視状態を変更できます。
  • 可視レプリカを非表示レプリカに降格するには:
    1. レプリカが CA 更新マスターである場合は、サービスを別のレプリカに移動させます。詳細については、「現行 CA 更新マスターの変更」 を参照してください。
    2. レプリカの状態を hidden に変更します。
      # ipa server-state replica.idm.example.com --state=hidden
  • 非表示レプリカを表示レプリカに昇格するには、次を使用します。
    # ipa server-state replica.idm.example.com --state=enabled

注記

非表示レプリカ機能は、テクノロジープレビューとして Red Hat Enterprise Linux 7.7 以降で利用できます。そのため、サポートされていません。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。