第8章 復旧時の IdM クライアントの調整

IdM サーバーが復元している間は、レプリカトポロジーの変更を反映するように IdM クライアントの調整が必要になる場合があります。

手順

  1. DNS 設定を調整 します。

    1. /etc/hosts に IdM サーバーの参照が含まれている場合は、ハードコーディングされた IP からホスト名へのマッピングが有効になっていることを確認してください。
    2. IdM クライアントが名前解決に IdM DNS を使用している場合は、/etc/resolv.confnameserver のエントリーが、DNS サービスを提供する IdM レプリカを指していることを確認します。
  2. Kerberos 設定を調整 します。

    1. デフォルトでは、IdM クライアントは Kerberos サーバーの DNS サービスレコードを検索し、レプリカトポロジーの変更に合わせて調整します。

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
        dns_lookup_kdc = true
    2. IdM クライアントが /etc/krb5.conf で特定の IdM サーバーを使用するようにハードコーディングされている場合は、以下を行います。

      [root@client ~]# grep dns_lookup_kdc /etc/krb5.conf
        dns_lookup_kdc = false

      /etc/krb5.confkdc エントリー、master_kdc エントリー、および admin_server エントリーが適切に機能する IdM サーバーを参照することを確認します。

      [realms]
       EXAMPLE.COM = {
        kdc = functional-server.example.com:88
        master_kdc = functional-server.example.com:88
        admin_server = functional-server.example.com:749
        default_domain = example.com
        pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
        pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
      }
  3. SSSD 設定を調整 します。

    1. デフォルトでは、IdM クライアントは LDAP サーバーの DNS サービスレコードを検索し、レプリカトポロジーの変更を調整します。

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
      ipa_server = _srv_, functional-server.example.com
    2. IdM クライアントが /etc/sssd/sssd.conf で特定の IdM サーバーを使用するようにハードコーディングされている場合は、ipa_server エントリーが適切に動作する IdM サーバーを参照するようにしてください。

      [root@client ~]# grep ipa_server /etc/sssd/sssd.conf
      ipa_server = functional-server.example.com
  4. SSSD のキャッシュされた情報を消去 します。

    • SSSD キャッシュには、失われたサーバーに関連する古い情報が含まれる場合があります。認証に一貫性がない場合は、SSSD キャッシュをパージします。

      [root@client ~]# sss_cache -E

検証手順

  1. Kerberos TGT (Ticket-Granting-Ticket) を IdM ユーザーとして取得して、Kerberos 設定を確認します。

    [root@client ~]# kinit admin
    Password for admin@EXAMPLE.COM:
    
    [root@client ~]# klist
    Ticket cache: KCM:0
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    10/31/2019 18:44:58  11/25/2019 18:44:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM
  2. IdM ユーザー情報を取得して、SSSD 設定を確認します。

    [root@client ~]# id admin
    uid=1965200000(admin) gid=1965200000(admins) groups=1965200000(admins)