第8章 復旧時の IdM クライアントの調整
IdM サーバーが復元している間は、レプリカトポロジーの変更を反映するように IdM クライアントの調整が必要になる場合があります。
手順
DNS 設定を調整 します。
-
/etc/hosts
に IdM サーバーの参照が含まれている場合は、ハードコーディングされた IP からホスト名へのマッピングが有効になっていることを確認してください。 -
IdM クライアントが名前解決に IdM DNS を使用している場合は、
/etc/resolv.conf
のnameserver
のエントリーが、DNS サービスを提供する IdM レプリカを指していることを確認します。
-
Kerberos 設定を調整 します。
デフォルトでは、IdM クライアントは Kerberos サーバーの DNS サービスレコードを検索し、レプリカトポロジーの変更に合わせて調整します。
[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = true
IdM クライアントが
/etc/krb5.conf
で特定の IdM サーバーを使用するようにハードコーディングされている場合は、以下を行います。[root@client ~]# grep dns_lookup_kdc /etc/krb5.conf dns_lookup_kdc = false
/etc/krb5.conf
のkdc
エントリー、master_kdc
エントリー、およびadmin_server
エントリーが適切に機能する IdM サーバーを参照することを確認します。[realms] EXAMPLE.COM = { kdc = functional-server.example.com:88 master_kdc = functional-server.example.com:88 admin_server = functional-server.example.com:749 default_domain = example.com pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem }
SSSD 設定を調整 します。
デフォルトでは、IdM クライアントは LDAP サーバーの DNS サービスレコードを検索し、レプリカトポロジーの変更を調整します。
[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = _srv_, functional-server.example.com
IdM クライアントが
/etc/sssd/sssd.conf
で特定の IdM サーバーを使用するようにハードコーディングされている場合は、ipa_server
エントリーが適切に動作する IdM サーバーを参照するようにしてください。[root@client ~]# grep ipa_server /etc/sssd/sssd.conf ipa_server = functional-server.example.com
SSSD のキャッシュされた情報を消去 します。
SSSD キャッシュには、失われたサーバーに関連する古い情報が含まれる場合があります。認証に一貫性がない場合は、SSSD キャッシュをパージします。
[root@client ~]# sss_cache -E
検証手順
Kerberos TGT (Ticket-Granting-Ticket) を IdM ユーザーとして取得して、Kerberos 設定を確認します。
[root@client ~]# kinit admin Password for admin@EXAMPLE.COM: [root@client ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 18:44:58 11/25/2019 18:44:55 krbtgt/EXAMPLE.COM@EXAMPLE.COM
IdM ユーザー情報を取得して、SSSD 設定を確認します。
[root@client ~]# id admin uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)