Red Hat SummitD.2. レプリカの作成
以下のセクションでは、最も注目すべきレプリカのインストールシナリオを説明します。
- 手順と例は合わせて使用してください。CA、DNS、およびその他のコマンドラインオプションを同時に使用できます。以下のセクションの例は、各設定エリアに必要なものを明確にするために、別々に説明します。
ipa-replica-installユーティリティーは、他の多くのオプションも受け付けます。完全なリストについては、ipa-replica-install(1) の man ページ。
D.2.1. DNS を使用しないレプリカのインストール
リンクのコピーリンクがクリップボードにコピーされました!
- マスターの IdM サーバーで、
ipa-replica-prepareユーティリティーを実行し、レプリカ マシンの完全修飾ドメインネーム (FQDN) を追加します。レプリカの IP アドレスに他のサーバーが到達できないと、ipa-replica-prepareスクリプトは、その IP アドレスの確認や検証を実行しないことに注意してください。重要.company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com や company.example.com など) で設定する必要があります。完全修飾ドメイン名は、以下の条件を満たす必要があります。- 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
- すべてが小文字である。大文字は使用できません。
- 完全修飾ドメイン名は、ループバックアドレスを解決できません。
127.0.0.1ではなく、マシンの公開 IP アドレスを解決する必要があります。
その他の推奨命名プラクティスは『Red Hat Enterprise Linux Security Guide』のRecommended Naming Practicesを参照してください。マスターサーバーが統合 DNS で設定されている場合は、--ip-addressでレプリカマシンの IP アドレスを指定します。インストールスクリプトは、レプリカの逆引きゾーンを設定するかどうかを尋ねられます。IdM サーバーが統合 DNS で設定されている場合に限り、--ip-addressを渡します。これ以外の場合にこのオプションを渡すと、更新する DNS レコードが存在しないため、DNS レコード操作が失敗して、レプリカ作成も失敗することになります。プロンプトが表示されたら、初期マスターサーバーの DM (Directory Manager) パスワードを入力します。ipa-replica-prepareの出力には、レプリカインフォメーションファイルの場所が表示されます。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 警告レプリカ情報ファイルには機密情報が含まれています。適切な措置を講じてこの情報を保護してください。ipa-replica-prepareに追加できるその他のオプションは、ipa-replica-prepare(1) の man ページを参照してください。 - レプリカマシンで、ipa-server パッケージをインストールします。
yum install ipa-server
[root@replica ~]# yum install ipa-serverCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 初期サーバーからレプリカ情報ファイルを、レプリカマシンにコピーします。
scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/
[root@server ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@replica:/var/lib/ipa/Copy to Clipboard Copied! Toggle word wrap Toggle overflow - レプリカマシンで、
ipa-replica-installユーティリティーを実行し、レプリカ情報ファイルの場所を追加して、レプリカの初期化プロセスを開始します。プロンプトが表示されたら、元のマスターサーバーの Directory Manager と admin のパスワードを入力し、レプリカのインストールスクリプトが完了するまで待ちます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記インストールするレプリカファイルが現在のホスト名と一致しない場合は、レプリカのインストールスクリプトにより警告メッセージが表示され、確認するように求められます。場合によっては、マルチホームマシンなど、一致しないホスト名で続行することを確認できます。ipa-replica-installに追加できるコマンドラインオプションは、ipa-replica-prepare(1) man ページを参照してください。--ip-addressで使用できるオプションの 1 つにipa-replica-installオプションがあります。ipa-replica-installに追加すると、--ip-addressは、ローカルインターフェイスに関連付けられた IP アドレスだけを許可します。
D.2.2. DNS のあるレプリカのインストール
リンクのコピーリンクがクリップボードにコピーされました!
統合 DNS のあるレプリカをインストールするには、「DNS を使用しないレプリカのインストール」で説明されている DNS を使用せずにインストールする手順に従いますが、以下のオプションを
ipa-replica-install に追加します。
--setup-dns--forwarder
詳細は「DNS のあるレプリカのインストール」を参照してください。
以下に例を示します。
ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-dns --forwarder 198.51.100.0ipa-replica-install の実行後に、適切な DNS エントリーが作成されたことを確認し、必要に応じて他の DNS サーバーをバックアップサーバーとして追加します。詳細は「DNS のあるレプリカのインストール」を参照してください。
D.2.3. さまざまな CA 設定を使用したレプリカのインストール
リンクのコピーリンクがクリップボードにコピーされました!
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。
CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「失われた CA サーバーの復旧」を参照してください。
証明書システム CA がインストールされているサーバーからのレプリカのインストール
初期サーバーを、統合 Red Hat 証明書システムインスタンスで設定する際に、レプリカに CA を設定するには (ルート CA であるかどうか、外部 CA の下位にあるかどうかに関係なく)、「DNS を使用しないレプリカのインストール」で説明されている基本的なインストール手順に従いますが、
ipa-replica-install ユーティリティーに --setup-ca を追加します。--setup-ca オプションは、最初のサーバーの設定から CA 設定をコピーします。
ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca
[root@replica ~]# ipa-replica-install /var/lib/ipa/replica-info-replica.example.com.gpg --setup-ca証明書システム CA がインストールされていないサーバーからのレプリカのインストール
CA なしのレプリカのインストールでは、「DNS を使用しないレプリカのインストール」で説明されている基本的な手順に従いますが、最初のサーバーで
ipa-replica-prepare ユーティリティーを実行する場合は次のオプションを追加します。
--dirsrv-cert-file--dirsrv-pin--http-cert-file--http-pin
詳細は「CA のないサーバーからのレプリカのインストール」を参照してください。
以下に例を示します。
ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crt
[root@server ~]# ipa-replica-prepare replica.example.com --dirsrv-cert-file /tmp/server.key --dirsrv-pin secret --http-cert-file /tmp/server.crt --http-cert-file /tmp/server.key --http-pin secret --dirsrv-cert-file /tmp/server.crtD.2.4. 追加のレプリカ合意の追加
リンクのコピーリンクがクリップボードにコピーされました!
ipa-replica-install を使用してレプリカをインストールすると、マスターサーバーとレプリカとの間に初期のレプリカ合意が作成されます。レプリカを別のサーバーまたはレプリカに接続するには、ipa-replica-manage ユーティリティーを使用して合意を追加します。
マスターサーバーと新しいレプリカに CA がインストールされている場合は、CA のレプリカ合意も作成されます。別のサーバーまたはレプリカに CA レプリカ合意を追加するには、
ipa-csreplica-manage ユーティリティーを使用します。
別のレプリカ合意を追加する方法は、「レプリカおよびレプリカ合意の管理」 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}