Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.2. 복제 생성

다음 섹션에서는 가장 주목할 만한 복제 설치 시나리오에 대해 설명합니다.
  • 프로시저와 예제는 함께 사용할 수 없습니다. CA, DNS 및 기타 명령줄 옵션을 동시에 사용할 수 있습니다. 다음 섹션의 예는 각 구성 영역에 필요한 사항을 명확하게 정의하기 위해 별도로 호출됩니다.
  • ipa-replica-install 유틸리티도 여러 다른 옵션도 허용합니다. 전체 목록은 ipa-replica-install(1) 매뉴얼 페이지입니다.

D.2.1. DNS 없이 복제 설치

  1. 마스터 IdM 서버 에서 ipa- replica -prepare 유틸리티를 실행하고 복제본 시스템의 FQDN(정규화된 도메인 이름)을 추가합니다. ipa-replica-prepare 스크립트는 IP 주소의 유효성을 검사하거나 다른 서버에서 복제본의 IP 주소에 연결할 수 있는지 확인하지 않습니다.
    중요
    단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
    정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
    • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
    • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
    • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
    다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
    마스터 서버가 통합 DNS로 구성된 경우 --ip-address 옵션을 사용하여 복제본 시스템의 IP 주소를 지정합니다. 그런 다음 설치 스크립트에서 복제본에 대해 역방향 영역을 설정할지 묻습니다. IdM 서버가 통합 DNS로 구성된 경우에만 --ip-address 를 전달합니다. 그러지 않으면 업데이트할 DNS 레코드가 없으며 DNS 레코드 작업이 실패하면 복제본 생성 시도가 실패합니다.
    메시지가 표시되면 초기 마스터 서버의 DM(Directory Manager) 암호를 입력합니다. ipa-replica-prepare 의 출력에는 복제본 정보 파일의 위치가 표시됩니다. 예를 들어 다음과 같습니다. 
    [root@server ~]# ipa-replica-prepare replica.example.com --ip-address 192.0.2.2
Directory Manager (existing master) password:

Do you want to configure the reverse zone? [yes]: no
Preparing replica for replica.example.com from server.example.com
Creating SSL certificate for the Directory Server
Creating SSL certificate for the dogtag Directory Server
Saving dogtag Directory Server port
Creating SSL certificate for the Web Server
Exporting RA certificate
Copying additional files
Finalizing configuration
Packaging replica information into /var/lib/ipa/replica-info-replica.example.com.gpg
Adding DNS records for replica.example.com
Waiting for replica.example.com. A or AAAA record to be resolvable
This can be safely interrupted (Ctrl+C)
The ipa-replica-prepare command was successful
    주의
    복제본 정보 파일에는 중요한 정보가 포함되어 있습니다. 적절한 보호를 위해 적절한 조치를 취할 수 있습니다.
    ipa-replica-prepare 에 추가할 수 있는 다른 옵션은 ipa-replica-prepare(1) 도움말 페이지를 참조하십시오.
  2. 복제본 시스템에 ipa-server 패키지를 설치합니다. 
    [root@replica ~]# yum install ipa-server
  3. 복제본 정보 파일을 초기 서버에서 복제본 시스템으로 복사합니다. 
    [root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
  4. 복제본 시스템 에서 ipa-replica-install 유틸리티를 실행하고 복제 정보 파일의 위치를 추가하여 복제본 초기화 프로세스를 시작합니다. 메시지가 표시되면 원래 마스터 서버의 Directory Manager 및 관리자 암호를 입력하고 복제본 설치 스크립트가 완료될 때까지 기다립니다. 
    [root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg
Directory Manager (existing master) password:

Run connection check to master
Check connection from replica to remote master 'server.example.com':

...

Connection from replica to master is OK.
Start listening on required ports for remote master check
Get credentials to log in to remote master
admin@MASTER.EXAMPLE.COM password:

Check SSH connection to remote master

...

Connection from master to replica is OK.

...

Configuring NTP daemon (ntpd)
  [1/4]: stopping ntpd
  [2/4]: writing configuration

...

Restarting Directory server to apply updates
  [1/2]: stopping directory server
  [2/2]: starting directory server
Done.
Restarting the directory server
Restarting the KDC
Restarting the web server
    참고
    설치 중인 복제본 파일이 현재 호스트 이름과 일치하지 않는 경우 복제 설치 스크립트에서 경고 메시지를 표시하고 확인을 요청합니다. 다중 홈 시스템의 와 같은 경우에 일치하지 않는 호스트 이름을 계속 진행하도록 확인할 수 있습니다.
    ipa-replica-install 에 추가할 수 있는 명령줄 옵션은 ipa-replica-prepare(1) 도움말 페이지를 참조하십시오. ipa-replica-install 에서 허용하는 옵션 중 하나는 --ip-address 옵션입니다. ipa-replica-install 에 추가할 때--ip-address 는 로컬 인터페이스와 연결된 IP 주소만 허용합니다.

D.2.2. DNS를 사용하여 복제본 설치

통합 DNS를 사용하여 복제본을 설치하려면 D.2.1절. “DNS 없이 복제 설치” 에 설명된 DNS 없이 설치 절차를 따르지만 ipa-replica-install 에 다음 옵션을 추가하십시오.
  • --setup-dns
  • --forwarder
자세한 내용은 4.5.3절. “DNS를 사용하여 복제본 설치” 을 참조하십시오.
예를 들어 다음과 같습니다. 
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
ipa-replica-install 을 실행한 후 적절한 DNS 항목이 생성되었는지 확인하고 선택적으로 다른 DNS 서버를 백업 서버로 추가합니다. 자세한 내용은 4.5.3절. “DNS를 사용하여 복제본 설치” 을 참조하십시오.

D.2.3. 다양한 CA 구성으로 복제본 설치

주의
두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.
CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.

인증서 시스템 CA가 설치된 서버에서 복제본 설치

통합된 Red Hat Certificate System 인스턴스로 구성된 초기 서버가 (루트 CA인지 아니면 외부 CA에 종속되었는지의 여부와 관계없이) 복제본에서 CA를 설정하려면 D.2.1절. “DNS 없이 복제 설치” 에 설명된 기본 설치 절차를 따르고 ipa-replica-install 유틸리티에 --setup-ca 옵션을 추가합니다. setup -ca 옵션은 초기 서버 구성에서 CA 구성을 복사합니다. 
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca

인증서 시스템 CA가 설치되지 않은 서버에서 복제본 설치

CA가 없는 복제본 설치의 경우 D.2.1절. “DNS 없이 복제 설치” 에 설명된 기본 절차를 따르고 초기 서버에서 ipa-replica-prepare 유틸리티를 실행할 때 다음 옵션을 추가합니다.
  • --dirsrv-cert-file
  • --dirsrv-pin
  • --http-cert-file
  • --http-pin
자세한 내용은 4.5.5절. “CA 없이 서버에서 복제본 설치” 을 참조하십시오.
예를 들어 다음과 같습니다. 
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt

D.2.4. 복제 계약 추가

ipa-replica-install 을 사용하여 복제본을 설치하면 마스터 서버와 복제본 간의 초기 복제 계약이 생성됩니다. 복제본을 다른 서버 또는 복제본에 연결하려면 ipa-replica-manage 유틸리티를 사용하여 계약을 추가합니다.
마스터 서버와 새 복제본에 CA가 설치되어 있으면 CA의 복제 계약도 생성됩니다. 다른 서버 또는 복제본에 CA 복제 계약을 추가하려면 ipa-csreplica-manage 유틸리티를 사용하십시오.
복제 계약 추가에 대한 자세한 내용은 D.3절. “복제 및 복제 계약 관리” 을 참조하십시오.