第4章 仮想マシンスナップショットによるデータ損失からの復旧

手順

1. CA レプリカ仮想マシンで使用するスナップショットを起動します。

2. 失われたレプリカのレプリカ合意を削除します。

   [root@server ~]# ipa server-del lost-server1.example.com
   [root@server ~]# ipa server-del lost-server2.example.com
   ...

3. 次の CA レプリカをインストールします。IdM レプリカのインストール を参照してください。
4. VM CA レプリカが CA 更新サーバーになりました。Red Hat は、環境内の別の CA レプリカをプロモートして、CA 更新サーバーとして機能させることを推奨します。IdM CA 更新サーバーの変更およびリセット を参照してください。
5. 必要なサービス (CA、DNS) で追加のレプリカをデプロイし、必要なレプリカトポロジーを再作成します。IdM レプリカのインストール を参照してください。
6. DNS を更新して、新しいレプリカトポロジーを反映させます。IdM DNS を使用すると、DNS サービスレコードが自動的に更新されます。
7. IdM クライアントが IdM サーバーにアクセスできることを確認します。復旧時の IdM クライアントの調整 を参照してください。

検証手順

1. Kerberos TGT (Ticket-Granting-Ticket) を IdM ユーザーとして正常に取得して、すべてのレプリカで Kerberos サーバーをテストします。

   [root@server ~]# kinit admin
   Password for admin@EXAMPLE.COM:
   
   [root@server ~]# klist
   Ticket cache: KCM:0
   Default principal: admin@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
   10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM

2. ユーザー情報を取得して、すべてのレプリカで Directory Server および SSSD 設定をテストします。

   [root@server ~]# ipa user-show admin
     User login: admin
     Last name: Administrator
     Home directory: /home/admin
     Login shell: /bin/bash
     Principal alias: admin@EXAMPLE.COM
     UID: 1965200000
     GID: 1965200000
     Account disabled: False
     Password: True
     Member of groups: admins, trust admins
     Kerberos keys available: True

3. ipa cert-show コマンドを使用して、すべての CA レプリカで CA サーバーをテストします。

   [root@server ~]# ipa cert-show 1
     Issuing CA: ipa
     Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
     Subject: CN=Certificate Authority,O=EXAMPLE.COM
     Issuer: CN=Certificate Authority,O=EXAMPLE.COM
     Not Before: Thu Oct 31 19:43:29 2019 UTC
     Not After: Mon Oct 31 19:43:29 2039 UTC
     Serial number: 1
     Serial number (hex): 0x1
     Revoked: False