3.3. IdM CA データの保護

デプロイメントに統合 IdM 認証局 (CA) が含まれている場合は、CA レプリカをいくつかインストールして、CA レプリカが失われた場合に追加の CA レプリカを作成できるようにします。

手順

  1. CA サービスを提供するように 3 つ以上のレプリカを設定します。

    1. CA サービスを備えた新しいレプリカをインストールするには、--setup-ca オプションを指定して ipa-replica-install を実行します。

      [root@server ~]# ipa-replica-install --setup-ca
    2. 既存のレプリカに CA サービスをインストールするには、ipa-ca-install を実行します。

      [root@replica ~]# ipa-ca-install
  2. CA レプリカ間で CA レプリカ合意を作成します。

    [root@careplica1 ~]# ipa topologysegment-add
    Suffix name: ca
    Left node: ca-replica1.example.com
    Right node: ca-replica2.example.com
    Segment name [ca-replica1.example.com-to-ca-replica2.example.com]: new_segment
    ---------------------------
    Added segment "new_segment"
    ---------------------------
      Segment name: new_segment
      Left node: ca-replica1.example.com
      Right node: ca-replica2.example.com
      Connectivity: both
警告

CA サービスを提供するサーバーが 1 つしかない場合、それが壊れると、環境全体が失われます。IdM CA を使用する場合、CA サービスがインストールされたレプリカを 3 つ以上用意し、それらの間で CA レプリカ合意を設定ことを 強く推奨 します。