2장. 복제를 사용하여 단일 서버 복구

절차

1. 환경의 다른 복제본에서 해당 환경의 다른 CA 복제본을 승격하여 새 CA 갱신 서버 역할을 합니다. IdM CA 갱신 서버 변경 및 재설정 을 참조하십시오.
2. 환경의 다른 복제본에서 손실된 CA 갱신 서버에 대한 복제 계약을 제거합니다. CLI를 사용하여 토폴로지에서 서버 제거를 참조하십시오.
3. 새 CA 복제본을 설치하여 손실된 CA 복제본을 교체합니다. CA를 사용하여 IdM 복제본 설치를 참조하십시오.
4. 복제 토폴로지의 변경 사항을 반영하도록 DNS를 업데이트합니다. IdM DNS를 사용하면 DNS 서비스 레코드가 자동으로 업데이트됩니다.
5. IdM 클라이언트가 IdM 서버에 연결할 수 있는지 확인합니다. 복구 중에 IdM 클라이언트 조정을 참조하십시오.

검증 단계

1. Kerberos ticket-Granting-Ticket를 IdM 사용자로 성공적으로 검색하여 새 복제본에서 Kerberos 서버를 테스트합니다.

   [root@server ~]# kinit admin
   Password for admin@EXAMPLE.COM:
   
   [root@server ~]# klist
   Ticket cache: KCM:0
   Default principal: admin@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
   10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM

2. 사용자 정보를 검색하여 Directory Server 및 SSSD 구성을 테스트합니다.

   [root@server ~]# ipa user-show admin
     User login: admin
     Last name: Administrator
     Home directory: /home/admin
     Login shell: /bin/bash
     Principal alias: admin@EXAMPLE.COM
     UID: 1965200000
     GID: 1965200000
     Account disabled: False
     Password: True
     Member of groups: admins, trust admins
     Kerberos keys available: True

3. ipa cert-show 명령을 사용하여 CA 구성을 테스트합니다.

   [root@server ~]# ipa cert-show 1
     Issuing CA: ipa
     Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
     Subject: CN=Certificate Authority,O=EXAMPLE.COM
     Issuer: CN=Certificate Authority,O=EXAMPLE.COM
     Not Before: Thu Oct 31 19:43:29 2019 UTC
     Not After: Mon Oct 31 19:43:29 2039 UTC
     Serial number: 1
     Serial number (hex): 0x1
     Revoked: False