4.5. レプリカの作成: 概要
ipa-replica-install
ユーティリティーを使用して、既存の IdM サーバーから新しいレプリカをインストールします。Identity Management レプリカは一度に 1 つずつインストールしてください。同時に複数のレプリカをインストールすることはサポートされません。
注記
本章では、Red Hat Enterprise Linux 7.3 で導入された、レプリカの簡素化インストールについて説明します。この手順で必要なドメインレベルは 1 です (7章ドメインレベルの表示と引き上げを参照)。
ドメインレベル 0 でレプリカをインストールする方法は、??? を参照してください。
新しいレプリカをインストールできます。
- クライアントをレプリカにプロモートします。「既存のクライアントのレプリカへのプロモート」 を参照してください。
- IdM ドメインに登録されていないマシンで、「クライアントではないマシンへのレプリカのインストール」を参照してください。
このいずれの状況でも、
ipa-replica-install
にオプションを追加すると、レプリカをカスタマイズできます。「ipa-replica-install を使用したユースケースに対するレプリカの設定」 を参照してください。
レプリカを非表示としてインストールするには、
--hidden-replica
パラメーターを ipa-replica-install
に渡します。非表示のレプリカの詳細は、「非表示のレプリカモード」 を参照してください。
重要
複製中の IdM サーバーが Active Directory と信頼関係がある場合は、
ipa-replica-install
を実行した後にレプリカを信頼エージェントとして設定します。『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。
既存のクライアントのレプリカへのプロモート
既存のクライアントにレプリカをインストールするには、クライアントのプロモートが許可されていることを確認する必要があります。これを行うには、以下のいずれかを選択します。
- 特権ユーザーの認証情報を指定する
- デフォルトの特権ユーザーは
admin
です。ユーザーの認証情報を指定する方法は複数あります。これにより、以下が可能になります。- IdM により、対話的に認証情報を取得するようにプロンプトが表示されます。注記これは、特権ユーザーの認証情報を指定するデフォルトの方法です。
ipa-replica-install
の実行時に認証情報が利用できない場合には、インストールで自動的にプロンプトが表示されます。 - クライアントで
ipa-replica-install
を実行する前にユーザーとしてログインします。$ kinit admin
- ユーザーのプリンシパル名とパスワードを
ipa-replica-install
に直接追加します。# ipa-replica-install --principal admin --admin-password admin_password
- クライアントを
ipaservers
ホストグループに追加する ipaservers
のメンバーシップは、マシンの権限を特権ユーザーの認証情報と同様の権限に昇格します。ユーザーの認証情報を指定する必要はありません。
クライアントではないマシンへのレプリカのインストール
IdM ドメインに登録されていないマシンで実行すると、
ipa-replica-install
は最初にマシンをクライアントとして登録してから、レプリカコンポーネントをインストールします。
この状況でレプリカをインストールするには、以下のいずれかを選択します。
- 特権ユーザーの認証情報を指定する
- デフォルトの特権ユーザーは
admin
です。認証情報を指定するには、プリンシパル名とパスワードをipa-replica-install
に直接追加します。# ipa-replica-install --principal admin --admin-password admin_password
- クライアントのパスワードを無作為に指定する
- レプリカをインストールする前に、サーバーで無作為のパスワードを生成する必要があります。インストール時にユーザーの認証情報を指定する必要はありません。
デフォルトでは、レプリカはクライアントインストーラーで検出された最初の IdM サーバーに対してインストールされます。特定のサーバーに対してレプリカをインストールするには、
ipa-replica-install
に以下のオプションを追加します。
--server
- サーバーの完全修飾ドメイン名 (FQDN)--domain
- IdM DNS ドメイン
ipa-replica-install を使用したユースケースに対するレプリカの設定
オプションなしで実行すると、
ipa-replica-install
は基本的なサーバーサービスのみを設定します。DNS や認証局 (CA) などの追加のサービスをインストールするには、ipa-replica-install
にオプションを追加します。
警告
Red Hat は、複数のサーバーに CA サービスをインストールすることを強く推奨します。CA サービスを含む初期サーバーのレプリカのインストールは、「CA のあるレプリカのインストール」 を参照してください。
CA を 1 台のサーバーにのみインストールすると、CA サーバーが失敗した場合に CA 設定を復元できる機会なしに CA 設定が失われるリスクがあります。詳細は「失われた CA サーバーの復旧」を参照してください。
最も主要なオプションを使用したレプリカのインストールに関するシナリオ例については以下を参照してください。
- 「CA のあるレプリカのインストール」、
--setup-ca
の使用
--dirsrv-config-file
パラメーターを使用して、カスタム値を持つ LDIF ファイルへのパスを指定すると、デフォルトの Directory Server 設定を変更することもできます。詳細は、『Release Notes for Red Hat Enterprise Linux 7.3』のIdM now supports setting individual Directory Server options during server or replica installationを参照してください。
レプリカの設定に使用するオプションの完全リストは、ipa-replica-install(1) の man ページを参照してください。
4.5.1. ホストキータブを使用したクライアントのレプリカへのプロモート
この手順では、独自のホストキータブを使用して既存の IdM クライアントがレプリカにプロモートされ、プロモーションが認可されます。
この手順では、管理者または Directory Manager (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインで公開されないため、安全性が向上します。
- 既存のサーバーの場合:
- 管理者としてログインします。
$ kinit admin
- クライアントマシンを
ipaservers
ホストグループに追加します。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaservers
のメンバーシップは、マシンの権限を管理者の認証情報と同様の権限に昇格します。
- クライアントで
ipa-replica-install
ユーティリティーを実行します。# ipa-replica-install
- オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。
4.5.2. 無作為のパスワードを使用したレプリカのインストール
この手順では、IdM クライアントではないマシンにレプリカをゼロからインストールします。登録を承認するには、クライアント登録 1 回だけに有効なクライアント固有に作成せれた無作為のパスワードを使用します。
この手順では、管理者または Directory Manager (DM) の認証情報を指定する必要はありません。そのため、機密情報がコマンドラインで公開されないため、安全性が向上します。
- 既存のサーバーの場合:
- 管理者としてログインします。
$ kinit admin
- 新しいマシンを IdM ホストとして追加します。ipa host-add コマンドに
--random
オプションを使用して、レプリカのインストールに使用される無作為なワンタイムパスワードを生成します。$ ipa host-add client.example.com --random -------------------------------------------------- Added host "client.example.com" -------------------------------------------------- Host name: client.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.example.com
生成されたパスワードは、IdM ドメインへのマシン登録に使用した後は無効になります。登録の完了後、このパスワードは適切なホストキータブに置き換えられます。 - マシンを
ipaservers
のホストグループに追加します。$ ipa hostgroup-add-member ipaservers --hosts client.example.com Host-group: ipaservers Description: IPA server hosts Member hosts: server.example.com, client.example.com ------------------------- Number of members added 1 -------------------------
ipaservers
のメンバーは、必須サーバーサービスの設定に必要な特権にマシンを昇格します。
- レプリカをインストールするマシンで、
ipa-replica-install
を実行し、--password
オプションを使用して無作為のパスワードを指定します。特殊文字が含まれるため、パスワードを一重引用符 (') で囲みます。# ipa-replica-install --password 'W5YpARl=7M.n'
- オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。
4.5.3. DNS のあるレプリカのインストール
この手順は、IdM ドメインに所属していないマシン、およびクライアントでレプリカをインストールする場合に使用します。詳細は「レプリカの作成: 概要」を参照してください。
- 以下のオプションを使用して、
ipa-replica-install
を実行します。--setup-dns
- DNS ゾーンが存在しない場合は作成し、レプリカを DNS サーバーとして設定します。--forwarder
- フォワーダーを指定します。フォワーダーを使用しない場合は--no-forwarder
を指定します。フェイルオーバーのために複数のフォワーダーを指定するには、--forwarder
を複数回使用します。
以下に例を示します。# ipa-replica-install --setup-dns --forwarder 192.0.2.1
注記ipa-replica-install
ユーティリティーは、--no-reverse
や--no-host-dns
などの DNS 設定に関する複数のオプションを受け入れます。詳細は ipa-replica-install(1) の man ページを参照してください。 - DNS を有効にして最初のサーバーが作成した場合には、適切な DNS エントリーでレプリカが自動的に作成されます。これらのエントリーにより、IdM クライアントが新しいサーバーを検出できるようになります。初期サーバーで DNS が有効になっていない場合は、DNS レコードを手動で追加します。ドメインサービスには、以下の DNS レコードが必要です。
_ldap._tcp
_kerberos._tcp
_kerberos._udp
_kerberos-master._tcp
_kerberos-master._udp
_ntp._udp
_kpasswd._tcp
_kpasswd._udp
この例では、エントリーが存在することを確認する方法を説明します。- DOMAIN 変数および NAMESERVER 変数に適切な値を設定します。
# DOMAIN=example.com # NAMESERVER=replica
- 以下のコマンドを使用して、DNS エントリーを確認します。
# for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority done | egrep "^_" _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server1.example.com. _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server2.example.com. _kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server1.example.com. ...
- 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが
ipa.example.com
の場合は、ネームサーバー (NS) レコードを親ドメインexample.com
に追加します。重要この手順は、IdM DNS サーバーをインストールするたびに繰り返す必要があります。 - 任意ですが、推奨されます。レプリカが利用できなくなった場合に、他の DNS サーバーをバックアップサーバーとして手動で追加します。「ネームサーバーの追加設定」を参照してください。これは、新しいレプリカが IdM ドメインの最初の DNS サーバーになる場合に特に推奨されます。
- オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。
4.5.4. CA のあるレプリカのインストール
この手順は、IdM ドメインに所属していないマシン、およびクライアントでレプリカをインストールする場合に使用します。詳細は「レプリカの作成: 概要」を参照してください。
--setup-ca
オプションを指定してipa-replica-install
を実行します。[root@replica ~]# ipa-replica-install --setup-ca
--setup-ca
オプションは、サーバーの IdM CA がルート CA であるか、外部 CA に従属しているかに関係なく、最初のサーバーの設定から CA 設定をコピーします。注記サポート対象の CA 設定の詳細は、「使用する CA 設定の決定」 を参照してください。- オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。
4.5.5. CA のないサーバーからのレプリカのインストール
この手順は、IdM ドメインに所属していないマシン、およびクライアントでレプリカをインストールする場合に使用します。詳細は「レプリカの作成: 概要」を参照してください。
重要
自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。
ipa-replica-install
を実行して、次のオプションを追加して必要な証明書ファイルを指定します。--dirsrv-cert-file
--dirsrv-pin
--http-cert-file
--http-pin
このようなオプションを使用して提供されるファイルに関する詳細は、「CA なしでのインストール」 を参照してください。以下に例を示します。[root@replica ~]# ipa-replica-install \ --dirsrv-cert-file /tmp/server.crt \ --dirsrv-cert-file /tmp/server.key \ --dirsrv-pin secret \ --http-cert-file /tmp/server.crt \ --http-cert-file /tmp/server.key \ --http-pin secret
注記--ca-cert-file
オプションを追加しないでください。ipa-replica-install
ユーティリティーは、マスターサーバーから証明書のこの部分の情報を自動的に取得します。- オプションで、複製する IdM サーバーに Active Directory と信頼関係がある場合は、信頼エージェントまたは信頼コントローラーとしてレプリカを設定します。詳細は、『Windows Integration Guide』のTrust Controllers and Trust Agentsを参照してください。