3.3. Protection des données de l'AC IdM
Si votre déploiement contient l'autorité de certification (AC) IdM intégrée, installez plusieurs répliques de l'AC afin de pouvoir en créer d'autres en cas de perte de l'une d'entre elles.
Procédure
Configurez trois répliques ou plus pour fournir des services de CA.
Pour installer une nouvelle réplique avec les services CA, exécutez
ipa-replica-install
avec l'option--setup-ca
.[root@server ~]# ipa-replica-install --setup-ca
Pour installer les services CA sur une réplique préexistante, exécutez
ipa-ca-install
.[root@replica ~]# ipa-ca-install
Créez des accords de réplication CA entre vos répliques CA.
[root@careplica1 ~]# ipa topologysegment-add Suffix name: ca Left node: ca-replica1.example.com Right node: ca-replica2.example.com Segment name [ca-replica1.example.com-to-ca-replica2.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: ca-replica1.example.com Right node: ca-replica2.example.com Connectivity: both
Si un seul serveur fournit des services CA et qu'il est endommagé, l'environnement entier sera perdu. Si vous utilisez l'AC IdM, Red Hat strongly recommends a trois répliques ou plus avec des services d'AC installés, avec des accords de réplication d'AC entre eux.
Ressources supplémentaires