Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
6.5. 서버 역할 관리
IdM 서버에 설치된 서비스를 기반으로 다양한 서버 역할을 수행할 수 있습니다. 예를 들어 다음과 같습니다. CA 서버, DNS 서버 또는 KRA(키 복구 기관) 서버.
6.5.1. 서버 역할 보기
웹 UI: 서버 역할 보기
지원되는 서버 역할의 전체 목록은 .
- role status absent 는 토폴로지의 서버가 역할을 수행하지 않음을 의미합니다.
- 역할 상태가 활성화됨 은 토폴로지에서 하나 이상의 서버가 역할을 수행함을 의미합니다.
그림 6.14. 웹 UI의 서버 역할
명령줄: 서버 역할 보기
ipa config-show 명령은 모든 CA 서버, NTP 서버 및 현재 CA 갱신 마스터를 표시합니다.
$ ipa config-show ... IPA masters: server1.example.com, server2.example.com, server3.example.com IPA CA servers: server1.example.com, server2.example.com IPA NTP servers: server1.example.com, server2.example.com, server3.example.com IPA CA renewal master: server1.example.com
ipa server-show 명령은 특정 서버에서 활성화된 역할 목록을 표시합니다. 예를 들어 server.example.com에서 활성화된 역할 목록은 다음과 같습니다.
$ ipa server-show
Server name: server.example.com
...
Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole 은 특정 서버 역할이 활성화된 모든 서버를 검색합니다. 예를 들어 모든 CA 서버를 검색하려면 다음을 수행합니다.
$ ipa server-find --servrole "CA server" --------------------- 2 IPA servers matched --------------------- Server name: server1.example.com ... Server name: server2.example.com ... ---------------------------- Number of entries returned 2 ----------------------------
6.5.2. 마스터 CA 서버로 복제 승격
참고
이 섹션에서는 도메인 수준 1에서 CA 갱신 마스터 변경에 대해 설명합니다( 7장. 도메인 수준 표시 및 승격참조). 도메인 수준 0에서 CA 갱신 마스터 변경에 대한 자세한 내용은 D.4절. “마스터 CA 서버로 복제 승격” 을 참조하십시오.
IdM 배포에서 임베디드 CA(인증 기관)를 사용하는 경우 IdM CA 서버 중 하나가 마스터 CA 역할을 합니다. CA 하위 시스템의 인증서 갱신을 관리하고 CRL(인증서 폐기 목록)을 생성합니다. 기본적으로 마스터 CA는 시스템 관리자가 ipa-server-install 또는 ipa-ca-install 명령을 사용하여 CA 역할을 설치한 첫 번째 서버입니다.
마스터 CA 서버를 오프라인으로 사용하거나 해제하려는 경우 다른 CA 서버를 새 CA 갱신 마스터로 대체하도록 승격합니다.
- CA 하위 시스템 인증서 갱신을 처리하도록 복제본을 구성합니다.
- 도메인 수준 1은 6.5.2.1절. “현재 CA 갱신 마스터 변경” 을 참조하십시오.
- 도메인 수준 0은 D.4.1절. “Which Server가 인증서 갱신을 처리하는 변경” 을 참조하십시오.
- CRL을 생성하도록 복제본을 구성합니다. 6.5.2.2절. “CRL을 생성하는 서버 변경” 참조하십시오.
- 이전 마스터 CA 서버를 해제하기 전에 새 마스터가 제대로 작동하는지 확인합니다. 6.5.2.3절. “새 마스터 CA 서버가 올바르게 구성되었는지 확인” 참조하십시오.
6.5.2.1. 현재 CA 갱신 마스터 변경
웹 UI: 현재 CA 갱신 마스터 변경
- → .
- IPA CA 갱신 마스터 필드에서 새 CA 갱신 마스터를 선택합니다.
명령줄: 현재 CA 갱신 마스터 변경
ipa config-mod --ca-renewal-master-server 명령을 사용합니다.
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
...
IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA renewal master: new_ca_renewal_master.example.com
출력에서 업데이트가 성공했음을 확인합니다.
6.5.2.2. CRL을 생성하는 서버 변경
CRL(인증서 폐기 목록)을 생성하는 서버를 변경하려면 다음을 수행합니다.
- 현재 CRL 생성 마스터를 모르는 경우 각 IdM 인증 기관(CA)에서 ipa-crlgen-manage status 명령을 사용하여 CRL 생성이 활성화되어 있는지 여부를 확인합니다.
# ipa-crlgen-manage status CRL generation: enabled - 현재 CRL 생성 마스터에서 기능을 비활성화합니다.
# ipa-crlgen-manage disable
- 새 CRL 생성 마스터로 구성하려는 다른 CA 호스트에서 기능을 활성화합니다.
# ipa-crlgen-manage enable
6.5.2.3. 새 마스터 CA 서버가 올바르게 구성되었는지 확인
새 마스터 CA 서버에
/var/lib/ipa/pki-ca/publish/MasterCRL.bin 파일이 있는지 확인합니다.
파일은
ca.crl.MasterCRL.autoUpdateInterval 매개변수를 사용하여 /etc/pki/pki-tomcat/ca/CS.cfg 파일에 정의된 시간 간격을 기반으로 생성됩니다. 기본값은 240분(4시간)입니다.
참고
ca.crl.MasterCRL.autoUpdateInterval 매개변수를 업데이트하면 다음 이미 예약된 CRL 업데이트 후에 변경 사항이 적용됩니다.
파일이 있는 경우 새 마스터 CA 서버가 올바르게 구성되고 이전 CA 마스터 시스템을 안전하게 거부할 수 있습니다.
6.5.3. IdM 서버에서 IdM CA 서비스 설치 제거
Red Hat은 토폴로지에서 CA 역할이 있는 최대 4개의 IdM(Identity Management) 복제본을 사용하는 것이 좋습니다. 따라서 중복 인증서 복제로 인해 이러한 복제본 및 성능 문제가 4개 이상 있는 경우 IdM 복제본에서 중복 CA 서비스 인스턴스를 제거합니다. 이렇게 하려면 CA 서비스 없이 IdM을 다시 설치하기 전에 먼저 영향을 받는 IdM 복제본을 완전히 해제해야 합니다.
중요
IdM 복제본에 CA 역할을 추가할 수 있지만 IdM은 IdM 복제본에서 CA 역할만 제거하는 방법을 제공하지 않습니다. ipa-ca-install 명령에
--uninstall 옵션이 없습니다.
- 중복 CA 서비스를 식별하고 이 서비스를 호스팅하는 IdM 복제본의 2.4절. “IdM 서버 설치 제거” 의 절차를 따릅니다.
- 동일한 호스트에서 사용 사례에 따라 2.3.5절. “외부 CA를 루트 CA로 사용하여 서버 설치” 또는 2.3.6절. “CA 없는 상태에서 설치” 의 절차를 따르십시오.
