第6章 Identity Management のアップグレード
Identity Management は通常、システムが新規リリースにアップグレードされるたびに更新されます。アップグレードは透過的であるため、ユーザーや管理者の介入は必要ありません。
6.1. アップグレードの注意事項
重要
CVE-2014-3566 のため SSLv3 (Secure Socket Layer version 3) プロトコルは
mod_nss
モジュールで無効にする必要があります。次の手順に従い、無効になっていることを確認してください。
/etc/httpd/conf.d/nss.conf
ファイルを編集し、NSSProtocol
パラメーターをTLSv1.0
(後方互換性用) およびTLSv1.1
に設定します。NSSProtocol TLSv1.0,TLSv1.1
httpd
サービスを再起動します。# service httpd restart
- 更新プロセスでは、全スキーマおよび LDAP 設定、Apache 設定、およびその他のサービス設定が自動的に更新され、IdM 関連のサービスがすべて再起動されます。
- レプリカの作成時には、ベースとしたマスターと同じバージョンを使用する必要があります。つまり、サーバーのアップグレードプロセス時に、レプリカを以前の Identity Management バージョンで作成しないようにしてください。アップグレードプロセスが完了するまで待ってから、新しいレプリカを作成します。
- スキーマが変更されると、サーバー間で複製されます。したがって、マスターサーバー 1 台が更新されると、パッケージがまだ更新されていない場合でも、全サーバーおよびレプリカのスキーマが更新されます。これにより、新しいスキーマを使用する新規エントリーを、IdM ドメイン内にある他の全サーバーでそのまま複製できます。LDAP のアップグレード操作は、
/var/log/ipaupgrade-log
のアップグレードログに記録されます。LDAP エラーが発生した場合は、上記のログに記録されます。エラーが解決されると、updater スクリプトを実行して LDAP 更新プロセスを手動で開始できます。[root@server ~]# ipa-ldap-updater --upgrade
- クライアントには、新しいパッケージをインストールする必要はありません。ドメインでのクライアント登録には、Red Hat Enterprise Linux システムの設定に使用するクライアントパッケージによる影響はありません。
- クライアントパッケージを更新すると、バグ修正を含む certmonger など、他の依存関係が更新される可能性がありますが、IdM ドメインでクライアントの機能や動作を維持するためには必要ありません。