Identity Management でのレプリケーションの管理

Red Hat Enterprise Linux 10

レプリケーション環境の準備および検証

Red Hat Customer Content Services

概要

Red Hat Identity Management (IdM) 環境では、レプリケーションによりフェイルオーバーとロードバランシングが可能になります。コマンドライン、Web UI、および Ansible Playbook を使用して、サーバー間のレプリケーションを設定、検証、および停止できます。

Red Hat ドキュメントへのフィードバック (英語のみ)

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

Jira の Web サイトにログインします。
上部のナビゲーションバーで Create をクリックします。
Summary フィールドにわかりやすいタイトルを入力します。
Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
ダイアログの下部にある Create をクリックします。

第1章レプリケーショントポロジーの管理

Identity Management (IdM) ドメイン内のサーバー間のレプリケーションを管理できます。レプリカを作成すると、Identity Management (IdM) が初期サーバーとレプリカ間にレプリカ合意を作成します。複製されるデータはトポロジーの接尾辞に保存され、2 つのレプリカの接尾辞間でレプリカ合意があると、接尾辞がトポロジーセグメントを形成します。

1.1. IdM レプリカ間のレプリカ合意

管理者が既存のサーバーに基づいてレプリカを作成すると、RHEL Identity Management (IdM) は、最初のサーバーとレプリカの間に レプリカ合意 を作成します。レプリカ合意は、データと設定が 2 台のサーバー間で継続的に複製されることを保証します。

IdM は、複数の読み取り/書き込みレプリカ複製 を使用します。この設定では、レプリカ合意に参加しているすべてのレプリカが更新の受信と提供を行うので、サプライヤーとコンシューマーとみなされます。レプリカ合意は常に双方向です。

図1.1 サーバーとレプリカ合意

サーバー 2 台の間に 2 つのレプリカ合意があるイメージ: Directory Server データベースに関連するデータのレプリカ合意と、Certificate System データに関連する証明書レプリカ合意

IdM は、2 種類のレプリカ合意を使用します。

ドメインレプリカ合意 は、アイデンティティー情報をレプリケートします。
証明書レプリカ合意 は、証明書情報をレプリケートします。

両方の複製チャンネルは独立しています。2 台のサーバー間で、いずれかまたは両方の種類のレプリカ合意を設定できます。たとえば、サーバー A とサーバー B にドメインレプリカ合意のみが設定されている場合は、証明書情報ではなく ID 情報だけが複製されます。

1.2. トポロジー接尾辞

トポロジー接尾辞 は、レプリケートされるデータを保存します。IdM は、domain と ca の 2 種類のトポロジー接尾辞に対応します。それぞれの接尾辞は、個別のサーバーである個別のレプリケーショントポロジーを表します。

レプリカ合意が設定されると、同じタイプのトポロジー接尾辞を 2 つの異なるサーバーに結合します。

domain 接尾辞: dc=example,dc=com

domain 接尾辞には、ドメイン関連のデータがすべて含まれています。

2 つのレプリカの domain 接尾辞間でレプリカ合意が設定されると、ユーザー、グループ、およびポリシーなどのディレクトリーデータが共有されます。

ca 接尾辞: o=ipaca

ca 接尾辞には、Certificate System コンポーネントのデータが含まれます。これは認証局 (CA) がインストールされているサーバーにのみ存在します。

2 つのレプリカの ca 接尾辞間でレプリカ合意が設定されると、証明書データが共有されます。

図1.2 トポロジー接尾辞

新規レプリカのインストール時には、ipa-replica-install スクリプトが 2 つのサーバー間に初期トポロジーレプリカ合意をセットアップします。

1.3. トポロジーセグメント

2 つのレプリカの接尾辞間でレプリカ合意があると、接尾辞は トポロジーセグメント を形成します。各トポロジーセグメントは、左ノード と 右ノード で構成されます。ノードは、レプリカ合意に参加しているサーバーを表します。

IdM のトポロジーセグメントは常に双方向です。各セグメントは、サーバー A からサーバー B、およびサーバー B からサーバー A への 2 つのレプリカ合意を表します。そのため、データは両方の方向でレプリケートされます。

図1.3 トポロジーセグメント

1.4. WebUI を使用したレプリケーショントポロジーの視覚的表現の表示および変更

Web UI を使用すると、レプリケーショントポロジーの表現を表示、操作、変換できます。Web UI のトポロジーグラフは、ドメイン内のサーバー間の関係を表示します。マウスのボタンを押したままドラッグすることで、個々のトポロジーノードを移動できます。

トポロジーグラフの解釈

ドメインのレプリカ合意に参加しているサーバーは、オレンジ色の矢印によって接続されます。CA のレプリカ合意に参加しているサーバーは、青色の矢印によって接続されます。

トポロジーグラフの例: 推奨されるトポロジー

以下の推奨トポロジーの例は、4 台のサーバーに対して考えられる推奨トポロジーの 1 つを示しています。各サーバーは少なくとも 2 つの他のサーバーに接続されており、複数のサーバーが CA サーバーです。

図1.4 推奨されるトポロジーの例

トポロジーグラフの例: 推奨されないトポロジー

推奨されないトポロジーの例では、server1 が単一障害点になります。その他のすべてのサーバーは、このサーバーとのレプリカ合意がありますが、他のサーバーとは合意がありません。したがって、server1 が失敗すると、他のすべてのサーバーは分離されます。

このようなトポロジーの作成は避けてください。

図1.5 推奨されないトポロジーの例: 単一障害点

前提条件

IdM 管理者としてログインしている。

手順

IPA Server → Topology → Topology Graph を選択します。
トポロジーを変更します。
- マウスの左ボタンを使用してトポロジーグラフのノードを移動できます。
- マウスのホイールを使用して、トポロジーグラフを拡大および縮小できます。
- マウスの左ボタンを保持することで、トポロジーグラフのキャンバスを移動できます。
トポロジーに加えた変更がグラフに反映されていない場合は、Refresh をクリックします。

1.5. CLI を使用したトポロジー接尾辞の表示

レプリカ合意では、トポロジー接尾辞にレプリケートされたデータが保存されます。トポロジー接尾辞は CLI を使用して表示できます。

手順

ipa topologysuffix-find コマンドを入力して、トポロジー接尾辞のリストを表示します。

ipa topologysuffix-find

$ ipa topologysuffix-find
---------------------------
2 topology suffixes matched
---------------------------
  Suffix name: ca
  Managed LDAP suffix DN: o=ipaca

  Suffix name: domain
  Managed LDAP suffix DN: dc=example,dc=com
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

1.6. CLI を使用したトポロジーセグメントの表示

レプリカ合意では、2 つのレプリカの接尾辞間にレプリカ合意がある場合、接尾辞がトポロジーセグメントを形成します。トポロジーセグメントは CLI を使用して表示できます。

手順

ipa topologysegment-find コマンドを入力して、ドメインまたは CA 接尾辞に設定されている現在のトポロジーセグメントを表示します。たとえば、ドメイン接尾辞の場合は、以下のようになります。
```
ipa topologysegment-find
```
```
$ ipa topologysegment-find
Suffix name: domain
-----------------
1 segment matched
-----------------
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------
```
Copy to Clipboard
この例では、ドメイン関連のデータのみが server1.example.com と server2.example.com の 2 つのサーバー間で複製されます。

オプション: 特定のセグメントの詳細のみを表示するには、ipa topologysegment-show コマンドを入力します。

ipa topologysegment-show

$ ipa topologysegment-show
Suffix name: domain
Segment name: server1.example.com-to-server2.example.com
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

Copy to Clipboard

1.7. Web UI を使用した 2 台のサーバー間のレプリケーションの設定

RHEL Identity Management (IdM) Web UI を使用すると、2 台のサーバーを選択し、それらのサーバー間に新しいレプリカ合意を作成できます。

前提条件

IdM 管理者としてログインしている。

手順

トポロジーグラフで、サーバーノードの 1 つにマウスを合わせます。
図1.6 ドメインまたは CA オプション
作成するトポロジーセグメントのタイプに応じて、domain または円の ca 部分をクリックします。
新しいレプリカ合意を表す新しい矢印が、マウスポインターの下に表示されます。マウスを他のサーバーノードに移動し、そこでクリックします。
図1.7 新規セグメントの作成
Add topology segment ウィンドウで、Add をクリックして、新しいセグメントのプロパティーを確認します。

2 台のサーバー間の新しいトポロジーセグメントは、サーバーをレプリカ合意に参加させます。トポロジーグラフには、更新されたレプリケーショントポロジーが表示されるようになりました。

図1.8 新規に作成されたセグメント

1.8. Web UI を使用した 2 台のサーバー間のレプリケーションの停止

RHEL Identity Management (IdM) Web UI を使用して、サーバーからレプリカ合意を削除できます。

前提条件

IdM 管理者としてログインしている。

手順

削除するレプリカ合意を表す矢印をクリックします。これにより、矢印がハイライト表示されます。
図1.9 トポロジーセグメントのハイライト表示
Delete をクリックします。
Confirmation ウィンドウで OK をクリックします。
IdM は、2 台のサーバー間のトポロジーセグメントを削除します。これにより、そのレプリカ合意が削除されます。トポロジーグラフには、更新されたレプリケーショントポロジーが表示されるようになりました。
図1.10 トポロジーセグメントの削除

1.9. CLI を使用した 2 つのサーバー間のレプリケーションの設定

ipa topologysegment-add コマンドを使用して、2 台のサーバー間のレプリカ合意を設定できます。

前提条件

IdM 管理者認証情報がある。

手順

2 つのサーバーのトポロジーセグメントを作成します。プロンプトが表示されたら、以下を指定します。
- 必要なトポロジー接尾辞: domain または ca
- 2 つのサーバーを表す、左ノードと右のノード
- オプション: セグメントのカスタム名
  以下に例を示します。
  $ ipa topologysegment-add Suffix name: domain Left node: server1.example.com Right node: server2.example.com Segment name [server1.example.com-to-server2.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: server1.example.com Right node: server2.example.com Connectivity: both
  Copy to Clipboard
  新しいセグメントを追加すると、サーバーをレプリカ合意に参加させます。

検証

新しいセグメントが設定されていることを確認します。

ipa topologysegment-show

$ ipa topologysegment-show
Suffix name: domain
Segment name: new_segment
  Segment name: new_segment
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

Copy to Clipboard

1.10. CLI を使用した 2 つのサーバー間のレプリケーションの停止

ipa topology_segment-del コマンドを使用して、コマンドラインからレプリカ合意を終了できます。

前提条件

IdM 管理者認証情報がある。

手順

オプション: 削除する特定のレプリケーションセグメントの名前がわからない場合は、使用可能なすべてのセグメントを表示します。ipa topologysegment-find コマンドを使用します。プロンプトが表示されたら、必要なトポロジー接尾辞 (domain または ca) を指定します。以下に例を示します。
```
ipa topologysegment-find
```
```
$ ipa topologysegment-find
Suffix name: domain
------------------
8 segments matched
------------------
  Segment name: new_segment
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 8
----------------------------
```
Copy to Clipboard
必要なセグメントを出力で特定します。
2 つのサーバーを結合するトポロジーセグメントを削除します。
```
ipa topologysegment-del
```
```
$ ipa topologysegment-del
Suffix name: domain
Segment name: new_segment
-----------------------------
Deleted segment "new_segment"
-----------------------------
```
Copy to Clipboard
セグメントを削除すると、レプリカ合意が削除されます。

検証

セグメントがリストに表示されなくなったことを確認します。

ipa topologysegment-find

$ ipa topologysegment-find
Suffix name: domain
------------------
7 segments matched
------------------
  Segment name: server2.example.com-to-server3.example.com
  Left node: server2.example.com
  Right node: server3.example.com
  Connectivity: both

...

----------------------------
Number of entries returned 7
----------------------------

Copy to Clipboard

1.11. Web UI を使用したトポロジーからのサーバーの削除

RHEL Identity Management (IdM) Web インターフェイスを使用して、トポロジーからサーバーを削除できます。この操作では、サーバーコンポーネントがホストからアンインストールされません。

前提条件

IdM 管理者としてログインしている。
削除するサーバーが、残りのトポロジーで他のサーバーに接続する 唯一のサーバーではない。この場合、他のサーバーが分離されますが、これは許可されていません。
削除するサーバーが、最後の CA または DNS サーバー ではない。

警告

サーバーの削除は元に戻せないアクションです。サーバーを削除すると、トポロジーに戻す唯一の方法は、マシンに新しいレプリカをインストールすることです。

手順

IPA Server → Topology → IPA Servers を選択します。
削除するサーバーの名前をクリックします。
図1.11 サーバーの選択
Delete Server をクリックします。

関連情報

IdM サーバーのアンインストール

1.12. CLI を使用したトポロジーからのサーバーの削除

コマンドラインを使用して、トポロジーから RHEL Identity Management (IdM) サーバーを削除できます。

前提条件

IdM 管理者認証情報がある。
削除するサーバーが、残りのトポロジーで他のサーバーに接続する 唯一のサーバーではない。この場合、他のサーバーが分離されますが、これは許可されていません。
削除するサーバーが、最後の CA または DNS サーバー ではない。

重要

手順

server1.example.com を削除するには、次の手順を実行します。

別のサーバーで ipa server-del コマンドを実行して、server1.example.com を削除します。このコマンドは、サーバーを参照するすべてのトポロジーセグメントを削除します。

ipa server-del

[user@server2 ~]$ ipa server-del
Server name: server1.example.com
Removing server1.example.com from replication topology, please wait...
----------------------------------------------------------
Deleted IPA server "server1.example.com"
----------------------------------------------------------

Copy to Clipboard

オプション: server1.example.com で、ipa server-install --uninstall コマンドを実行して、マシンからサーバーコンポーネントをアンインストールします。
```
ipa server-install --uninstall
```
```
[root@server1 ~]# ipa server-install --uninstall
```
Copy to Clipboard

1.13. 古い RUV レコードの削除

レプリカ合意を適切に削除せずに IdM トポロジーからサーバーを削除すると、古いレプリカ更新ベクトル (RUV) レコードは、トポロジー内の残りの複数のサーバーに残されます。これは、たとえば自動化により発生する可能性があります。これらのサーバーは、現在削除されたサーバーから更新を受け取ることを想定しています。この場合は、残りのサーバーから古い RUV レコードをクリーンアップする必要があります。

前提条件

IdM 管理者認証情報がある。
どのレプリカが壊れているか、または不適切に削除されたかがわかっている。

手順

ipa-replica-manage list-ruv コマンドを使用して、RUV の詳細をリスト表示します。このコマンドは、レプリカ ID を表示します。
```
ipa-replica-manage list-ruv
```
```
$ ipa-replica-manage list-ruv

server1.example.com:389: 6
server2.example.com:389: 5
server3.example.com:389: 4
server4.example.com:389: 12
```
Copy to Clipboard
重要
ipa-replica-manage list-ruv コマンドは、誤作動したり、不適切に削除されたりしたレプリカだけでなく、トポロジー内のすべてのレプリカをリスト表示します。
ipa-replica-manage clean-ruv を使用して、指定したレプリカに関連付けられた古い RUV を削除します。古い RUV を持つすべてのレプリカ ID に対してこのコマンドを繰り返します。たとえば、server1.example.com と server2.example.com が誤作動したり、レプリカが不適切に削除されたりすることを確認している場合:
```
ipa-replica-manage clean-ruv 6
ipa-replica-manage clean-ruv 5
```
```
ipa-replica-manage clean-ruv 6
ipa-replica-manage clean-ruv 5
```
Copy to Clipboard

警告

ipa-replica-manage clean-ruv の使用には、特別な注意を払って続行してください。有効なレプリカ ID を指定してコマンドを実行すると、レプリカデータベース内のそのレプリカに関連するすべてのデータが破損します。

この場合は、$ ipa-replica-manage re-initialize --from server1.example.com を使用して、別のレプリカからレプリカを再初期化します。

検証

ipa-replica-manage list-ruv を再度実行します。このコマンドで破損した RUV が表示されなくなった場合は、レコードが正常に消去されています。

このコマンドで、依然として破損した RUV が表示される場合は、このタスクを使用して手動で削除します。

dn: cn=clean replica_ID, cn=cleanallruv, cn=tasks, cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: replica_ID
replica-force-cleaning: no
cn: clean replica_ID

dn: cn=clean replica_ID, cn=cleanallruv, cn=tasks, cn=config
objectclass: extensibleObject
replica-base-dn: dc=example,dc=com
replica-id: replica_ID
replica-force-cleaning: no
cn: clean replica_ID

Copy to Clipboard

1.14. IdM Web UI を使用して IdM トポロジーで利用可能なサーバーロールを表示する

IdM サーバーにインストールされるサービスに基づいて、さまざまな サーバーロール を実行できます。以下に例を示します。

CA サーバー
DNS サーバー
Key Recovery Authority (KRA) サーバー

手順

サポートされるサーバーロールの完全なリストは、IPA Server → Topology → Server Roles を参照してください。
注記
- Role status が absent の場合は、トポロジー内でそのロールを実行しているサーバーがないことを示しています。
- Role status が enabled の場合は、トポロジー内でそのロールを実行しているサーバーが 1 台以上あることを示しています。
図1.12 Web UI でのサーバーロール

1.15. IdM CLI を使用して IdM トポロジーで利用可能なサーバーロールを表示する

IdM サーバーにインストールされるサービスに基づいて、さまざまな サーバーロール を実行できます。以下に例を示します。

CA サーバー
DNS サーバー
Key Recovery Authority (KRA) サーバー

手順

トポロジー内のすべての CA サーバーと現在の CA 更新サーバーを表示するには、以下を実行します。

ipa config-show

$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA CA renewal master: server1.example.com

Copy to Clipboard

または、特定のサーバー (例: server.example.com) で有効になっているロールのリストを表示するには、以下を実行します。
```
ipa server-show
```
```
$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, KRA server
```
Copy to Clipboard

または、ipa server-find --servrole コマンドを使用して、特定のサーバーロールが有効になっているすべてのサーバーを検索します。たとえば、すべての CA サーバーを検索するには、以下を実行します。

ipa server-find --servrole "CA server"

$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

1.16. レプリカの CA 更新サーバーおよび CRL パブリッシャーサーバーへのプロモート

IdM デプロイメントで組み込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つが CA サブシステム証明書の更新を管理する CA 更新サーバーとして機能します。IdM CA サーバーの 1 つは、証明書失効リストを生成する IdM CRL パブリッシャーサーバーとしても機能します。

デフォルトでは、CA 更新サーバーの機能と CRL パブリッシャーサーバーの機能は、システム管理者が ipa-server-install または ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーにインストールされます。ただし、CA ロールが有効になっている他の IdM サーバーに、どちらかの機能を移動することもできます。

前提条件

IdM 管理者認証情報がある。

手順

1.17. 非表示レプリカの降格または昇格

レプリカのインストール後、レプリカの表示状態を設定できます。

非表示のレプリカの詳細は、非表示のレプリカモードを参照してください。

前提条件

レプリカが CA 更新サーバーではないことを確認する。そうである場合は、このレプリカを非表示にする前に、サービスを別のレプリカに移動します。詳細は、IdM CA 更新サーバーの変更およびリセットを参照してください。

手順

レプリカを非表示にするには、以下を実行します。

ipa server-state replica.idm.example.com --state=hidden

# ipa server-state replica.idm.example.com --state=hidden

Copy to Clipboard

レプリカを再度表示するには、以下を実行します。

ipa server-state replica.idm.example.com --state=enabled

# ipa server-state replica.idm.example.com --state=enabled

Copy to Clipboard

トポロジー内の非表示のレプリカをすべてリスト表示するには、以下を実行します。
```
ipa config-show
```
```
# ipa config-show
```
Copy to Clipboard
すべてのレプリカが有効になっている場合は、コマンドの出力に非表示のレプリカは表示されません。

第2章 Ansible を使用した IdM でのレプリケーショントポロジーの管理

複数の RHEL Identity Management (IdM) サーバーを維持し、それらのサーバーを相互にレプリケートして冗長性を確保することで、サーバーの損失を軽減または防止することができます。たとえば、1 台のサーバーに障害が発生しても、その他のサーバーがドメインにサービスを提供し続けます。障害が発生していないサーバーの 1 台から新しいレプリカを作成し、失われたサーバーを回復することもできます。

IdM サーバーに保存されているデータは、レプリカ合意に基づいてレプリケートされます。2 台のサーバーにレプリカ合意が設定されている場合、それらのサーバーはデータを共有します。レプリケートされるデータはトポロジーの suffixes に保存されます。2 つのレプリカに接尾辞間でレプリカ合意があると、接尾辞はトポロジー segment を形成します。

この章では、Ansible を使用して IdM レプリカ合意、トポロジーセグメント、およびトポロジー接尾辞を管理する方法を説明します。

2.1. Ansible を使用して IdM にレプリカ合意が存在する状態にする

RHEL Identity Management (IdM) サーバーに保存されているデータは、レプリカ合意に基づいてレプリケートされます。2 台のサーバーにレプリカ合意が設定されている場合、それらのサーバーはデータを共有します。レプリカ合意は常に双方向的です。つまり、1 台目のレプリカから 2 台目のレプリカにデータがレプリケートされるだけでなく、2 台目のレプリカから 1 台目のレプリカにもデータがレプリケートされます。

Ansible Playbook を使用して、server.idm.example.com と replica.idm.example.com の間に domain タイプのレプリカ合意が存在する状態にするには、次の手順を実行します。

前提条件

トポロジー内の IdM レプリカを接続するためのガイドラインに記載されている IdM トポロジーの設計に関する推奨事項を理解している。
次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される add-topologysegment.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/add-topologysegment.yml add-topologysegment-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/add-topologysegment.yml add-topologysegment-copy.yml

Copy to Clipboard

add-topologysegment-copy.yml ファイルを編集のために開きます。
ipatopologysegment タスクセクションに以下の変数を設定して、ファイルを調整します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
- left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
- レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。
- state 変数は present に設定されていることを確認します。
以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。
```
---
- name: Playbook to handle topologysegment
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Add topology segment
    ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      left: server.idm.example.com
      right: replica.idm.example.com
      state: present
```
```
---
- name: Playbook to handle topologysegment
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Add topology segment
    ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      left: server.idm.example.com
      right: replica.idm.example.com
      state: present
```
Copy to Clipboard
ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegment-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegment-copy.yml
```
Copy to Clipboard

2.2. Ansible を使用して複数の IdM レプリカ間にレプリカ合意が存在する状態にする

IdM の複数のレプリカペア間にレプリカ合意が存在する状態にするには、次の手順を実行します。

前提条件

トポロジー内のレプリカの接続に記載されている IdM トポロジーの設計に関する推奨事項を理解している。
次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される add-topologysegments.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/add-topologysegments.yml add-topologysegments-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/add-topologysegments.yml add-topologysegments-copy.yml

Copy to Clipboard

add-topologysegments-copy.yml ファイルを編集のために開きます。
vars セクションに以下の変数を設定して、ファイルを調整します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- すべてのトポロジーセグメントについて、ipatopology_segments セクションに行を追加し、以下の変数を設定します。
  - 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
  - left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
  - レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。

add-topologysegments-copy.yml ファイルの tasks セクションで、state 変数が present に設定されていることを確認します。

以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

---
- name: Add topology segments
  hosts: ipaserver
  gather_facts: false

  vars:
    ipaadmin_password: "{{ ipaadmin_password }}"
    ipatopology_segments:
    - {suffix: domain, left: replica1.idm.example.com , right: replica2.idm.example.com }
    - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
    - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
    - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Add topology segment
    freeipa.ansible_freeipa.ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: "{{ item.suffix }}"
      name: "{{ item.name | default(omit) }}"
      left: "{{ item.left }}"
      right: "{{ item.right }}"
      state: present
    loop: "{{ ipatopology_segments | default([]) }}"

---
- name: Add topology segments
  hosts: ipaserver
  gather_facts: false

  vars:
    ipaadmin_password: "{{ ipaadmin_password }}"
    ipatopology_segments:
    - {suffix: domain, left: replica1.idm.example.com , right: replica2.idm.example.com }
    - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
    - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
    - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Add topology segment
    freeipa.ansible_freeipa.ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: "{{ item.suffix }}"
      name: "{{ item.name | default(omit) }}"
      left: "{{ item.left }}"
      right: "{{ item.right }}"
      state: present
    loop: "{{ ipatopology_segments | default([]) }}"

Copy to Clipboard

ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegments-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegments-copy.yml
```
Copy to Clipboard

2.3. Ansible を使用して 2 つのレプリカ間にレプリカ合意が存在するかどうかを確認する

以下の手順に従って、IdM のレプリカのペア間でレプリカ合意が存在することを確認します。Ansible を使用して IdM にレプリカ合意が存在する状態にする場合とは対照的に、この手順では既存の設定は変更されません。

前提条件

トポロジー内のレプリカの接続に記載されている IdM トポロジーの設計に関する推奨事項を理解している。
次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される check-topologysegments.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/check-topologysegments.yml check-topologysegments-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/check-topologysegments.yml check-topologysegments-copy.yml

Copy to Clipboard

check-topologysegments-copy.yml ファイルを編集のために開きます。
vars セクションに以下の変数を設定して、ファイルを調整します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- すべてのトポロジーセグメントについて、ipatopology_segments セクションに行を追加し、以下の変数を設定します。
  - 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
  - left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
  - レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。

check-topologysegments-copy.yml ファイルの tasks セクションで、state 変数が present に設定されていることを確認します。

以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

---
- name: Add topology segments
  hosts: ipaserver
  gather_facts: false

  vars:
    ipaadmin_password: "{{ ipaadmin_password }}"
    ipatopology_segments:
    - {suffix: domain, left: replica1.idm.example.com, right: replica2.idm.example.com }
    - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
    - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
    - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Check topology segment
    freeipa.ansible_freeipa.ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: "{{ item.suffix }}"
      name: "{{ item.name | default(omit) }}"
      left: "{{ item.left }}"
      right: "{{ item.right }}"
      state: checked
    loop: "{{ ipatopology_segments | default([]) }}"

---
- name: Add topology segments
  hosts: ipaserver
  gather_facts: false

  vars:
    ipaadmin_password: "{{ ipaadmin_password }}"
    ipatopology_segments:
    - {suffix: domain, left: replica1.idm.example.com, right: replica2.idm.example.com }
    - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
    - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
    - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Check topology segment
    freeipa.ansible_freeipa.ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: "{{ item.suffix }}"
      name: "{{ item.name | default(omit) }}"
      left: "{{ item.left }}"
      right: "{{ item.right }}"
      state: checked
    loop: "{{ ipatopology_segments | default([]) }}"

Copy to Clipboard

ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory check-topologysegments-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory check-topologysegments-copy.yml
```
Copy to Clipboard

2.4. Ansible を使用して IdM にトポロジー接尾辞が存在することを確認する

RHEL Identity Management (IdM) のレプリカ合意のコンテキストでは、トポロジー接尾辞にレプリケートされたデータが保存されます。IdM は、domain と ca の 2 種類のトポロジー接尾辞に対応します。それぞれの接尾辞は、個別のバックエンドである個別のレプリケーショントポロジーを表します。レプリカ合意が設定されると、同じタイプのトポロジー接尾辞を 2 つの異なるサーバーに結合します。

domain 接尾辞には、ユーザー、グループ、ポリシーに関するデータなど、ドメイン関連のすべてのデータが含まれます。ca 接尾辞には、Certificate System コンポーネントのデータが含まれます。これは認証局 (CA) がインストールされているサーバーにのみ存在します。

Ansible Playbook を使用して IdM にトポロジー接尾辞が存在する状態にするには、次の手順を実行します。この例では、IdM に domain 接尾辞が存在する状態にする方法を説明します。

前提条件

次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される verify-topologysuffix.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/ verify-topologysuffix.yml verify-topologysuffix-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/ verify-topologysuffix.yml verify-topologysuffix-copy.yml

Copy to Clipboard

Ansible Playbook ファイル verify-topologysuffix-copy.yml を開きます。
freeipa.ansible_freeipa.ipatopologysuffix セクションで次の変数を設定して、ファイルを変更します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- suffix 変数は domain に設定します。ca 接尾辞が存在することを確認する場合は、変数を ca に設定します。
- state 変数が verified に設定されていることを確認します。他のオプションは使用できません。
以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。
```
---
- name: Playbook to handle topologysuffix
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Verify topology suffix
    freeipa.ansible_freeipa.ipatopologysuffix:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      state: verified
```
```
---
- name: Playbook to handle topologysuffix
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Verify topology suffix
    freeipa.ansible_freeipa.ipatopologysuffix:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      state: verified
```
Copy to Clipboard
ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory verify-topologysuffix-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory verify-topologysuffix-copy.yml
```
Copy to Clipboard

2.5. Ansible を使用した IdM レプリカの再初期化

レプリカが長時間オフラインになっている場合や、データベースが破損している場合は、レプリカを再初期化できます。再初期化により、新しいデータセットでレプリカが更新されます。たとえば、バックアップからの権限のある復元を行う必要がある場合に、再初期化を使用できます。

注記

レプリケーションの更新とは対照的に、レプリカが変更エントリーのみを送信する間、データベース全体を再初期化します。

コマンドを実行するローカルホストは、再初期化されたレプリカです。データの取得元となるレプリカを指定するには、direction オプションを使用します。

以下の手順に従って、Ansible Playbook を使用して server.idm.example.com から replica.idm.example.com の domain データを再初期化します。

前提条件

次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される reinitialize-topologysegment.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/reinitialize-topologysegment.yml reinitialize-topologysegment-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/reinitialize-topologysegment.yml reinitialize-topologysegment-copy.yml

Copy to Clipboard

reinitialize-topologysegment-copy.yml ファイルを編集のために開きます。
freeipa.ansible_freeipa.ipatopologysegment セクションで次の変数を設定して、ファイルを変更します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- suffix 変数は domain に設定します。ca データを再初期化する場合は、変数を ca に設定します。
- left の変数をレプリカ合意の左ノードに設定します。
- レプリカ合意の right なノードに正しい変数を設定します。
- direction 変数は再初期化されるデータの方向に設定します。left-to-right は、左のノードから適切なノードにデータフローがあることを意味します。
- state 変数が reinitialized に設定されていることを確認します。
  以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。
  --- - name: Playbook to handle topologysegment hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Reinitialize topology segment freeipa.ansible_freeipa.ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: domain left: server.idm.example.com right: replica.idm.example.com direction: left-to-right state: reinitialized
  Copy to Clipboard
ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory reinitialize-topologysegment-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory reinitialize-topologysegment-copy.yml
```
Copy to Clipboard

2.6. Ansible を使用して IdM にレプリカ合意が存在しない状態にする

IdM の 2 つのレプリカ間にレプリカ合意が存在しない状態にするには、次の手順を実行します。この例では、replica01.idm.example.com および replica02.idm.example.com IdM サーバーの間に、domain タイプのレプリカ合意が存在しない状態にする方法を説明します。

前提条件

トポロジー内のレプリカの接続に記載されている IdM トポロジーの設計に関する推奨事項を理解している。
次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.15 以降を使用している。
- freeipa.ansible_freeipa コレクションがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されている (この例の場合)。
- secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard

ansible-freeipa パッケージによって提供される delete-topologysegment.yml Ansible Playbook ファイルをコピーします。

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/delete-topologysegment.yml delete-topologysegment-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/topology/delete-topologysegment.yml delete-topologysegment-copy.yml

Copy to Clipboard

delete-topologysegment-copy.yml ファイルを編集のために開きます。
ipatopologysegment タスクセクションに以下の変数を設定して、ファイルを調整します。
- ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
- suffix 変数は domain に設定します。また、ca データが左右ノードと右のノード間で複製されないようにするには、変数を ca に設定します。
- left の変数を、レプリカ合意の左ノードである IdM サーバーの名前に設定します。
- right の変数を、レプリカ合意の右ノードである IdM サーバーの名前に設定します。
- state 変数は、absent に設定されていることを確認します。
以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。
```
---
- name: Playbook to handle topologysegment
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Delete topology segment
    ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      left: replica01.idm.example.com
      right: replica02.idm.example.com:
      state: absent
```
```
---
- name: Playbook to handle topologysegment
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Delete topology segment
    ipatopologysegment:
      ipaadmin_password: "{{ ipaadmin_password }}"
      suffix: domain
      left: replica01.idm.example.com
      right: replica02.idm.example.com:
      state: absent
```
Copy to Clipboard
ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory delete-topologysegment-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory delete-topologysegment-copy.yml
```
Copy to Clipboard

第3章 Healthcheck を使用した IdM レプリケーションの確認

Healthcheck ツールを使用して、Identity Management (IdM) レプリケーションをテストできます。ツールに関する一般情報については、IdM の Healthcheck を参照してください。

3.1. IdM のレプリケーションとトポロジーのヘルスチェックテスト

Healthcheck ツールには、Identity Management (IdM) トポロジー設定のテストが含まれています。テストでは、レプリケーション競合の問題を検索します。

IPATopologyDomainCheck テストと ReplicationConflictCheck テストは、ipa-healthcheck --list-sources コマンドによる出力の ipahealthcheck.ipa.topology と ipahealthcheck.ds.replication ソースの下にあります。

IPATopologyDomainCheck

次の設定をテストします。

どの IdM サーバーもトポロジーから切断されない。
推奨される数を超えるレプリカ合意が IdM サーバーにない。

テストに成功すると、設定済みのドメインが返されます。成功しなかった場合は、特定の接続エラーが報告されます。

注記

このテストでは、domain 接尾辞に対して ipa topologysuffix-verify コマンドを実行します。このサーバーで IdM Certificate Authority サーバーロールが設定されている場合は、ca 接尾辞のコマンドも実行されます。

ReplicationConflictCheck

LDAP 内で (&(!(objectclass=nstombstone))(nsds5ReplConflict=*)) に一致するエントリーを検索します。

3.2. Healthcheck を使用したレプリケーションのスクリーニング

Healthcheck ツールを使用して Identity Management (IdM) のレプリケーションおよびトポロジー設定のスタンドアロン手動テストを実行するには、次の手順に従います。

前提条件

root 権限がある。

手順

以下を入力します。

ipa-healthcheck --source=ipahealthcheck.ds.replication --source=ipahealthcheck.ipa.topology

# ipa-healthcheck --source=ipahealthcheck.ds.replication --source=ipahealthcheck.ipa.topology

Copy to Clipboard

--source=ipahealthcheck.ds.replication および --source=ipahealthcheck.ipa.topology オプションを指定すると、IdM Healthcheck によってレプリケーション競合とトポロジーテストだけが実行されます。

以下のような 4 つの結果が取得できます。

SUCCESS - テストに問題なく合格しました。

{
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "SUCCESS",
  "kw": {
    "suffix": "domain"
  }
}

{
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "SUCCESS",
  "kw": {
    "suffix": "domain"
  }
}

Copy to Clipboard

WARNING - テストには合格しましたが、問題がある可能性があります。

ERROR - テストに合格しませんでした。

{
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "ERROR",
  "uuid": d6ce3332-92da-423d-9818-e79f49ed321f
  "when": 20191007115449Z
  "duration": 0.005943
  "kw": {
    "msg": "topologysuffix-verify domain failed, server2 is not connected (server2_139664377356472 in MainThread)"
  }
}

{
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "ERROR",
  "uuid": d6ce3332-92da-423d-9818-e79f49ed321f
  "when": 20191007115449Z
  "duration": 0.005943
  "kw": {
    "msg": "topologysuffix-verify domain failed, server2 is not connected (server2_139664377356472 in MainThread)"
  }
}

Copy to Clipboard

CRITICAL - テストに合格しませんでした。IdM サーバーの機能に影響があります。

注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行します。

法律上の通知

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Identity Management でのレプリケーションの管理

レプリケーション環境の準備および検証

Red Hat ドキュメントへのフィードバック (英語のみ)

第1章 レプリケーショントポロジーの管理

1.1. IdM レプリカ間のレプリカ合意

1.2. トポロジー接尾辞

1.3. トポロジーセグメント

1.4. WebUI を使用したレプリケーショントポロジーの視覚的表現の表示および変更

1.5. CLI を使用したトポロジー接尾辞の表示

1.6. CLI を使用したトポロジーセグメントの表示

1.7. Web UI を使用した 2 台のサーバー間のレプリケーションの設定

1.8. Web UI を使用した 2 台のサーバー間のレプリケーションの停止

1.9. CLI を使用した 2 つのサーバー間のレプリケーションの設定

1.10. CLI を使用した 2 つのサーバー間のレプリケーションの停止

1.11. Web UI を使用したトポロジーからのサーバーの削除

1.12. CLI を使用したトポロジーからのサーバーの削除

1.13. 古い RUV レコードの削除

1.14. IdM Web UI を使用して IdM トポロジーで利用可能なサーバーロールを表示する

1.15. IdM CLI を使用して IdM トポロジーで利用可能なサーバーロールを表示する

1.16. レプリカの CA 更新サーバーおよび CRL パブリッシャーサーバーへのプロモート

1.17. 非表示レプリカの降格または昇格

第2章 Ansible を使用した IdM でのレプリケーショントポロジーの管理

2.1. Ansible を使用して IdM にレプリカ合意が存在する状態にする

2.2. Ansible を使用して複数の IdM レプリカ間にレプリカ合意が存在する状態にする

2.3. Ansible を使用して 2 つのレプリカ間にレプリカ合意が存在するかどうかを確認する

2.4. Ansible を使用して IdM にトポロジー接尾辞が存在することを確認する

2.5. Ansible を使用した IdM レプリカの再初期化

2.6. Ansible を使用して IdM にレプリカ合意が存在しない状態にする

第3章 Healthcheck を使用した IdM レプリケーションの確認

3.1. IdM のレプリケーションとトポロジーのヘルスチェックテスト

3.2. Healthcheck を使用したレプリケーションのスクリーニング

法律上の通知

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章レプリケーショントポロジーの管理