1.2. RHEL 9 レプリカのインストール
RHEL 8 環境に存在するサーバーのリストを表示します。
[root@rhel8 ~]# ipa server-role-find --status enabled --server rhel8.example.com ---------------------- 3 server roles matched ---------------------- Server name: rhel8.example.com Role name: CA server Role status: enabled Server name: rhel8.example.com Role name: DNS server Role status: enabled [... output truncated ...]
(必要に応じて)
rhel9.example.com
にrhel8.example.com
が使用しているものと同じサーバーごとのフォワーダーを使用する場合は、rhel8.example.com
のサーバーごとのフォワーダーを確認します。[root@rhel8 ~]# ipa dnsserver-show rhel8.example.com ----------------------------- 1 DNS server matched ----------------------------- Server name: rhel8.example.com SOA mname: rhel8.example.com. Forwarders: 192.0.2.20 Forward policy: only -------------------------------------------------- Number of entries returned 1 --------------------------------------------------
IdM サーバーソフトウェアを
rhel9.example.com
にインストールして、RHEL 8 IdM サーバーのレプリカとして設定します (rhel8.example.com
にあるすべてのサーバーロールを含む)。上記の例からロールをインストールするには、ipa-replica-install
コマンドで以下のオプションを使用します。-
--setup-ca
: Certificate System コンポーネントを設定する --setup-dns
および--forwarder
: 統合 DNS サーバーを設定し、IdM ドメインの外に出る DNS クエリーを処理するようにサーバーごとのフォワーダーを設定する注記また、IdM デプロイメントが Active Directory (AD) と信頼関係にある場合は、
--setup-adtrust
オプションをipa-replica-install
コマンドに追加し、rhel9.example.com
に AD 信頼機能を設定します。--ntp-server
: NTP サーバーを指定する、または--ntp-pool
: NTP サーバーのプールを指定するIP アドレスが 192.0.2.20 のサーバーごとのフォワーダーを使用し
ntp.example.com
NTP サーバーと同期する、IP アドレスが 192.0.2.1 の IdM サーバーを設定するには、次のコマンドを実行します。[root@rhel9 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.com
DNS が正常に動作している場合は、
rhel9.example.com
が DNS 自動検出を使用してそれを見つけるため、RHEL 8 IdM サーバー自体を指定する必要はありません。
-
-
(オプション) 外部
NTP
時刻サーバーの_ntp._udp
サービス (SRV) レコードを、新たにインストールした IdM サーバーの DNS( rhel9.example.com ) に追加します。IdM DNS に時刻サーバーの SRV レコードが存在すると、今後 RHEL 9 のレプリカとクライアントインストールが rhel9.example.com で使用される時刻サーバーと同期するように自動的に設定されます。これは、--ntp-server
または--ntp-pool
オプションがインストールコマンドラインインターフェイス (CLI) で指定されていない限り、ipa-client-install
は_ntp._udp
DNS エントリーを検索するためです。
検証
IdM サービスが
rhel9.example.com
で実行されていることを確認します。[root@rhel9 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successful
rhel9.example.com
のサーバーロールがrhel8.example.com
の場合と同じであることを確認します。[root@rhel9 ~]# kinit admin [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com ---------------------- 2 server roles matched ---------------------- Server name: rhel9.example.com Role name: CA server Role status: enabled Server name: rhel9.example.com Role name: DNS server Role status: enabled
(オプション)
rhel8.example.com
とrhel9.example.com
間のレプリカ合意の詳細を表示します。[root@rhel9 ~]# ipa-csreplica-manage list --verbose rhel9.example.com Directory Manager password: rhel8.example.com last init status: None last init ended: 1970-01-01 00:00:00+00:00 last update status: Error (0) Replica acquired successfully: Incremental update succeeded last update ended: 2019-02-13 13:55:13+00:00
(オプション)IdM デプロイメントが AD と信頼関係にある場合は、そのデプロイメントが機能していることを確認します。
- Kerberos 設定を確認します
rhel9.example.com
で AD ユーザーの解決を試みます。[root@rhel9 ~]# id aduser@ad.domain
rhel9.example.com
がNTP
サーバーと同期していることを確認します。[root@rhel8 ~]# chronyc tracking Reference ID : CB00710F (ntp.example.com) Stratum : 3 Ref time (UTC) : Wed Feb 16 09:49:17 2022 [... output truncated ...]