第2章 レプリケーションを使用した 1 台のサーバーの復旧
1 台のサーバーで深刻な中断や損失が発生した場合は、複数のレプリカを使用すると、レプリカを置き換えて、以前の冗長性レベルを迅速に復元できます。
IdM トポロジーに統合認証局 (CA) が含まれている場合は、CA 更新サーバーおよびその他のレプリカで、破損したレプリカを削除して置き換える手順が異なります。
2.1. CA 更新サーバーの損失からの復旧
認証局 (CA) 更新サーバーが失われた場合は、CA 更新サーバーロールを満たすために別の CA レプリカをプロモートしてから、代替 CA レプリカをデプロイする必要があります。
前提条件
- デプロイメントで、IdM の内部認証局 (CA) を使用している。
- 環境内の別のレプリカには CA サービスがインストールされている。
警告
IdM デプロイメントは、以下の場合に修復できません。
- CA 更新サーバーが失われた場合
- CA がインストールされている他のサーバーがない場合
CA ロールを持つレプリカのバックアップはありません。
証明書データが保護されるように、CA ロールでレプリカからのバックアップを作成することが重要です。バックアップの作成および復元に関する詳細は、IdM バックアップでデータ損失に備える を参照してください。
手順
- 環境内の別のレプリカから、環境内で別の CA レプリカをプロモートして、新しい CA 更新サーバーとして機能します。IdM CA 更新サーバーの変更およびリセット を参照してください。
- 環境内の別のレプリカから、失われた CA 更新サーバーへのレプリカ合意を削除します。CLI を使用したトポロジーからのサーバーの削除 を削除します。
- 新しい CA レプリカをインストールして、失われた CA レプリカを置き換えます。CA を使用して IdM レプリカのインストール を参照してください。
- DNS を更新して、レプリカトポロジーの変更を反映させます。IdM DNS を使用すると、DNS サービスレコードが自動的に更新されます。
- IdM クライアントが IdM サーバーに到達できることを確認します。復旧時に IdM クライアントの調整 を参照してください。
検証手順
IdM ユーザーとして Kerberos TGT (Ticket-Granting-Ticket) を正常に取得して、新しいレプリカで Kerberos サーバーをテストします。
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
ユーザー情報を取得して、Directory Server および SSSD 設定をテストします。
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True
ipa cert-show
コマンドを使用して CA 設定をテストします。[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False
関連情報