2.2. 通常のレプリカ損失からの回復
認証局 (CA) 更新サーバーではないレプリカを置き換えるには、トポロジーから失われたレプリカを削除し、その場所に新しいレプリカをインストールします。
前提条件
- CA 更新サーバーが適切に動作している。CA 更新サーバーが失われた場合は、CA 更新サーバーの損失からの復旧 を参照してください。
手順
- 失われたサーバーにレプリカ合意を削除します。IdM サーバーのアンインストール を参照してください。
- 必要なサービス (CA、KRA、DNS) で新規レプリカをデプロイします。IdM レプリカのインストール を参照してください。
- DNS を更新して、レプリカトポロジーの変更を反映させます。IdM DNS を使用すると、DNS サービスレコードが自動的に更新されます。
- IdM クライアントが IdM サーバーに到達できることを確認します。復旧時に IdM クライアントの調整 を参照してください。
検証手順
IdM ユーザーとして Kerberos TGT (Ticket-Granting-Ticket) を正常に取得して、新しいレプリカで Kerberos サーバーをテストします。
[root@newreplica ~]# kinit admin Password for admin@EXAMPLE.COM: [root@newreplica ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
ユーザー情報を取得して、新しいレプリカで Directory Server および SSSD 設定をテストします。
[root@newreplica ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True