1.2. RHEL 8 レプリカのインストール
RHEL 7 環境に存在するサーバーのリストを表示します。
[root@rhel7 ~]# ipa server-role-find --status enabled --server rhel7.example.com ---------------------- 3 server roles matched ---------------------- Server name: rhel7.example.com Role name: CA server Role status: enabled Server name: rhel7.example.com Role name: DNS server Role status: enabled Server name: rhel7.example.com Role name: NTP server Role status: enabled [... output truncated ...]
(必要に応じて)
rhel8.example.com
にrhel7.example.com
が使用しているものと同じサーバーごとのフォワーダーを使用する場合は、rhel7.example.com
のサーバーごとのフォワーダーを確認します。[root@rhel7 ~]# ipa dnsserver-show rhel7.example.com ----------------------------- 1 DNS server matched ----------------------------- Server name: rhel7.example.com SOA mname: rhel7.example.com. Forwarders: 192.0.2.20 Forward policy: only -------------------------------------------------- Number of entries returned 1 --------------------------------------------------
IdM RHEL 7 サーバーのレプリカとして
rhel8.example.com
に IdM サーバーをインストールします。これには、NTP サーバーロールを除き、rhel7.example.com
のサーバーロールをすべて含みます。上記の例からロールをインストールするには、ipa-replica-install
コマンドで以下のオプションを使用します。-
--setup-ca
: Certificate System コンポーネントを設定する --setup-dns
および--forwarder
: 統合 DNS サーバーを設定し、IdM ドメインの外に出る DNS クエリーを処理するようにサーバーごとのフォワーダーを設定する注記また、IdM デプロイメントが Active Directory (AD) と信頼関係にある場合は、
--setup-adtrust
オプションをipa-replica-install
コマンドに追加し、rhel8.example.com
に AD 信頼機能を設定します。IP アドレス 192.0.2.20 のサーバーごとのフォワーダーを使用する IP アドレス 192.0.2.1 の IdM サーバーを設定するには、以下を行います。
[root@rhel8 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20
DNS が正常に機能している場合は、
rhel8.example.com
が DNS の自動検出を使用してそれを見つけるため、RHEL 7 IdM サーバー自体を指定する必要はありません。
-
-
必要に応じて、外部
NTP
タイムサーバーの_ntp._udp
サービス (SRV) レコードを、新しくインストールした IdM サーバーの DNS (rhel8.example.com) に追加します。RHEL 8 では IdM が独自の時刻サービスを提供しないため、この設定を行うことが推奨されます。IdM DNS に時刻サーバーの SRV レコードが存在すると、今後の RHEL 8 レプリカおよびクライアントインストールが、rhel8.example.comが使用する時刻サーバーと同期するように自動的に設定されます。これは、--ntp-server
または--ntp-pool
オプションがインストールコマンドラインインターフェイス (CLI) で指定されていない限り、ipa-client-install
は_ntp._udp
DNS エントリーを検索するためです。
検証
IdM サービスが
rhel8.example.com
で稼働していることを確認します。[root@rhel8 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successful
NTP サーバーロールを除き、
rhel8.example.com
のサーバーロールが、rhel7.example.com
と同じであることを確認します。[root@rhel8 ~]$ kinit admin [root@rhel8 ~]$ ipa server-role-find --status enabled --server rhel8.example.com ---------------------- 2 server roles matched ---------------------- Server name: rhel8.example.com Role name: CA server Role status: enabled Server name: rhel8.example.com Role name: DNS server Role status: enabled
必要に応じて、
rhel7.example.com
とrhel8.example.com
間のレプリカ合意の詳細を表示します。[root@rhel8 ~]# ipa-csreplica-manage list --verbose rhel8.example.com Directory Manager password: rhel7.example.com last init status: None last init ended: 1970-01-01 00:00:00+00:00 last update status: Error (0) Replica acquired successfully: Incremental update succeeded last update ended: 2019-02-13 13:55:13+00:00
(必要に応じて)IdM デプロイメントが AD と信頼関係にある場合は、それが機能していることを確認します。
- リンク: Kerberos 設定の確認
rhel8.example.com
で AD ユーザーの解決を試みます。[root@rhel8 ~]# id aduser@ad.domain
rhel8.example.com
がNTP
サーバーと同期されていることを確認します。[root@rhel8 ~]# chronyc tracking Reference ID : CB00710F (ntp.example.com) Stratum : 3 Ref time (UTC) : Tue Nov 16 09:49:17 2021 [... output truncated ...]