1.2. RHEL 8 レプリカのインストール

  1. RHEL 7 環境に存在するサーバーのリストを表示します。

    [root@rhel7 ~]# ipa server-role-find --status enabled --server rhel7.example.com
    ----------------------
    3 server roles matched
    ----------------------
      Server name: rhel7.example.com
      Role name: CA server
      Role status: enabled
    
      Server name: rhel7.example.com
      Role name: DNS server
      Role status: enabled
    
      Server name: rhel7.example.com
      Role name: NTP server
      Role status: enabled
    [... output truncated ...]
  2. (必要に応じて)rhel8.example.comrhel7.example.com が使用しているものと同じサーバーごとのフォワーダーを使用する場合は、rhel7.example.com のサーバーごとのフォワーダーを確認します。

    [root@rhel7 ~]# ipa dnsserver-show rhel7.example.com
    -----------------------------
    1 DNS server matched
    -----------------------------
      Server name: rhel7.example.com
      SOA mname: rhel7.example.com.
      Forwarders: 192.0.2.20
      Forward policy: only
    --------------------------------------------------
    Number of entries returned 1
    --------------------------------------------------
  3. IdM RHEL 7 サーバーのレプリカとして rhel8.example.com に IdM サーバーをインストールします。これには、NTP サーバーロールを除き、rhel7.example.com のサーバーロールをすべて含みます。上記の例からロールをインストールするには、ipa-replica-install コマンドで以下のオプションを使用します。

    • --setup-ca: Certificate System コンポーネントを設定する
    • --setup-dns および --forwarder: 統合 DNS サーバーを設定し、IdM ドメインの外に出る DNS クエリーを処理するようにサーバーごとのフォワーダーを設定する

      注記

      また、IdM デプロイメントが Active Directory (AD) と信頼関係にある場合は、--setup-adtrust オプションを ipa-replica-install コマンドに追加し、rhel8.example.com に AD 信頼機能を設定します。

      IP アドレス 192.0.2.20 のサーバーごとのフォワーダーを使用する IP アドレス 192.0.2.1 の IdM サーバーを設定するには、以下を行います。

      [root@rhel8 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20

      DNS が正常に機能している場合は、rhel8.example.com が DNS の自動検出を使用してそれを見つけるため、RHEL 7 IdM サーバー自体を指定する必要はありません。

  4. 必要に応じて、外部 NTP タイムサーバーの _ntp._udp サービス (SRV) レコードを、新しくインストールした IdM サーバーの DNS (rhel8.example.com) に追加します。RHEL 8 では IdM が独自の時刻サービスを提供しないため、この設定を行うことが推奨されます。IdM DNS に時刻サーバーの SRV レコードが存在すると、今後の RHEL 8 レプリカおよびクライアントインストールが、rhel8.example.comが使用する時刻サーバーと同期するように自動的に設定されます。これは、--ntp-server または --ntp-pool オプションがインストールコマンドラインインターフェイス (CLI) で指定されていない限り、ipa-client-install_ntp._udp DNS エントリーを検索するためです。

検証

  1. IdM サービスが rhel8.example.com で稼働していることを確認します。

    [root@rhel8 ~]# ipactl status
    Directory Service: RUNNING
    [... output truncated ...]
    ipa: INFO: The ipactl command was successful
  2. NTP サーバーロールを除き、rhel8.example.com のサーバーロールが、rhel7.example.com と同じであることを確認します。

    [root@rhel8 ~]$ kinit admin
    [root@rhel8 ~]$ ipa server-role-find --status enabled --server rhel8.example.com
    ----------------------
    2 server roles matched
    ----------------------
      Server name: rhel8.example.com
      Role name: CA server
      Role status: enabled
    
      Server name: rhel8.example.com
      Role name: DNS server
      Role status: enabled
  3. 必要に応じて、rhel7.example.comrhel8.example.com 間のレプリカ合意の詳細を表示します。

    [root@rhel8 ~]# ipa-csreplica-manage list --verbose rhel8.example.com
    Directory Manager password:
    
    rhel7.example.com
    last init status: None
    last init ended: 1970-01-01 00:00:00+00:00
    last update status: Error (0) Replica acquired successfully: Incremental update succeeded
    last update ended: 2019-02-13 13:55:13+00:00
  4. (必要に応じて)IdM デプロイメントが AD と信頼関係にある場合は、それが機能していることを確認します。

    1. リンク: Kerberos 設定の確認
    2. rhel8.example.com で AD ユーザーの解決を試みます。

      [root@rhel8 ~]# id aduser@ad.domain
  5. rhel8.example.comNTP サーバーと同期されていることを確認します。

    [root@rhel8 ~]# chronyc tracking
    Reference ID    : CB00710F (ntp.example.com)
    Stratum         : 3
    Ref time (UTC)  : Tue Nov 16 09:49:17 2021
    [... output truncated ...]