1.2. RHEL 9 レプリカのインストール
RHEL 8 環境に存在するサーバーのリストを表示します。
[root@rhel8 ~]# ipa server-role-find --status enabled --server rhel8.example.com ---------------------- 3 server roles matched ---------------------- Server name: rhel8.example.com Role name: CA server Role status: enabled Server name: rhel8.example.com Role name: DNS server Role status: enabled [... output truncated ...](必要に応じて)
rhel9.example.comにrhel8.example.comが使用しているものと同じサーバーごとのフォワーダーを使用する場合は、rhel8.example.comのサーバーごとのフォワーダーを確認します。[root@rhel8 ~]# ipa dnsserver-show rhel8.example.com ----------------------------- 1 DNS server matched ----------------------------- Server name: rhel8.example.com SOA mname: rhel8.example.com. Forwarders: 192.0.2.20 Forward policy: only -------------------------------------------------- Number of entries returned 1 --------------------------------------------------
IdM サーバーソフトウェアを
rhel9.example.comにインストールして、RHEL 8 IdM サーバーのレプリカとして設定します (rhel8.example.comにあるすべてのサーバーロールを含む)。上記の例からロールをインストールするには、ipa-replica-installコマンドで以下のオプションを使用します。-
--setup-ca: Certificate System コンポーネントを設定する --setup-dnsおよび--forwarder: 統合 DNS サーバーを設定し、IdM ドメインの外に出る DNS クエリーを処理するようにサーバーごとのフォワーダーを設定する注記また、IdM デプロイメントが Active Directory (AD) と信頼関係にある場合は、
--setup-adtrustオプションをipa-replica-installコマンドに追加し、rhel9.example.comに AD 信頼機能を設定します。--ntp-server: NTP サーバーを指定する、または--ntp-pool: NTP サーバーのプールを指定するIP アドレスが 192.0.2.20 のサーバーごとのフォワーダーを使用し
ntp.example.comNTP サーバーと同期する、IP アドレスが 192.0.2.1 の IdM サーバーを設定するには、次のコマンドを実行します。[root@rhel9 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.comDNS が正常に動作している場合は、
rhel9.example.comが DNS 自動検出を使用してそれを見つけるため、RHEL 8 IdM サーバー自体を指定する必要はありません。
-
-
(オプション) 外部
NTP時刻サーバーの_ntp._udpサービス (SRV) レコードを、新たにインストールした IdM サーバーの DNS( rhel9.example.com ) に追加します。IdM DNS に時刻サーバーの SRV レコードが存在すると、今後 RHEL 9 のレプリカとクライアントインストールが rhel9.example.com で使用される時刻サーバーと同期するように自動的に設定されます。これは、--ntp-serverまたは--ntp-poolオプションがインストールコマンドラインインターフェイス (CLI) で指定されていない限り、ipa-client-installは_ntp._udpDNS エントリーを検索するためです。
検証
IdM サービスが
rhel9.example.comで実行されていることを確認します。[root@rhel9 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successfulrhel9.example.comのサーバーロールがrhel8.example.comの場合と同じであることを確認します。[root@rhel9 ~]# kinit admin [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com ---------------------- 2 server roles matched ---------------------- Server name: rhel9.example.com Role name: CA server Role status: enabled Server name: rhel9.example.com Role name: DNS server Role status: enabled
(オプション)
rhel8.example.comとrhel9.example.com間のレプリカ合意の詳細を表示します。[root@rhel9 ~]# ipa-csreplica-manage list --verbose rhel9.example.com Directory Manager password: rhel8.example.com last init status: None last init ended: 1970-01-01 00:00:00+00:00 last update status: Error (0) Replica acquired successfully: Incremental update succeeded last update ended: 2019-02-13 13:55:13+00:00(オプション)IdM デプロイメントが AD と信頼関係にある場合は、そのデプロイメントが機能していることを確認します。
- Kerberos 設定を確認します
rhel9.example.comで AD ユーザーの解決を試みます。[root@rhel9 ~]# id aduser@ad.domain
rhel9.example.comがNTPサーバーと同期していることを確認します。[root@rhel8 ~]# chronyc tracking Reference ID : CB00710F (ntp.example.com) Stratum : 3 Ref time (UTC) : Wed Feb 16 09:49:17 2022 [... output truncated ...]
