6.5. サーバーロールの管理
IdM サーバーにインストールされるサービスに基づいて、さまざまな サーバーロール を実行できます。例:CA サーバー、DNS サーバー、またはキーリカバリー認証局 (KRA) サーバーなどです。
6.5.1. サーバーロールの表示
Web UI: サーバーロールの表示
サポートされるサーバーロールの完全なリストは、
- Role status が absent の場合は、トポロジー内でそのロールを実行しているサーバーがないことを示しています。
- Role status が enabled の場合は、トポロジー内でそのロールを実行しているサーバーが 1 台以上あることを示しています。
図6.14 Web UI でのサーバーロール
コマンドライン: サーバーロールの表示
ipa config-show コマンドを実行すると、すべての CA サーバー、NTP サーバー、および現行の CA 更新マスターが表示されます。
$ ipa config-show ... IPA masters: server1.example.com, server2.example.com, server3.example.com IPA CA servers: server1.example.com, server2.example.com IPA NTP servers: server1.example.com, server2.example.com, server3.example.com IPA CA renewal master: server1.example.com
ipa server-show コマンドは、特定のサーバーで有効なロールのリストを表示します。たとえば、server.example.com で有効にしたロールのリストは、以下のようになります。
$ ipa server-show
Server name: server.example.com
...
Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole は、特定のサーバーロールが有効になっているすべてのサーバーを検索します。たとえば、すべての CA サーバーを検索するには、以下を実行します。
$ ipa server-find --servrole "CA server" --------------------- 2 IPA servers matched --------------------- Server name: server1.example.com ... Server name: server2.example.com ... ---------------------------- Number of entries returned 2 ----------------------------
6.5.2. レプリカのマスター CA サーバーへのプロモート
注記
本セクションでは、ドメインレベル 1 で CA Renewal Master を変更する方法を説明します (7章ドメインレベルの表示と引き上げを参照)。ドメインレベル 0 で CA Renewal Master を変更する方法は、「レプリカのマスター CA サーバーへのプロモート」 を参照してください。
IdM デプロイメントで組み込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。これは、CA サブシステム証明書の更新を管理し、証明書失効リスト (CRL) を生成します。デフォルトでは、マスター CA は、システム管理者が ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーです。
マスター CA サーバーをオフラインに移行または廃止する予定の場合には、別の CA サーバーをプロモートして、新しい CA 更新マスターとして置き換えます。
- CA サブシステム証明書の更新を処理するようにレプリカを設定します。
- ドメインレベル 1 の場合は 「現在の CA 更新マスターの変更」 を参照してください。
- ドメインレベル 0 の場合は 「証明書更新を処理するサーバーの変更」 を参照してください。
- CRL を生成するようにレプリカを設定します。「CRL を生成するサーバーの変更」を参照してください。
- 以前のマスター CA サーバーの使用を終了する前に、新規マスターが適切に機能していることを確認します。「新規マスター CA サーバーが正しく設定されたことの確認」を参照してください。
6.5.2.1. 現在の CA 更新マスターの変更
Web UI: 現在の CA 更新マスターの変更
を選択します。 - IPA CA Renewal Master フィールドで、新しい CA Renewal Master を選択します。
コマンドライン: 現在の CA 更新マスターの変更
ipa config-mod --ca-renewal-master-server コマンドを使用します。
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
...
IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA renewal master: new_ca_renewal_master.example.com
出力で更新が成功したことを確認します。
6.5.2.2. CRL を生成するサーバーの変更
証明書失効リスト (CRL) を生成するサーバーを変更するには、以下を実行します。
- 現在の CRL 生成マスターが分からない場合は、各 IdM 認証局 (CA) で ipa-crlgen-manage status コマンドを使用して、CRL 生成が有効になっているかどうかを確認します。
# ipa-crlgen-manage status CRL generation: enabled - 現在の CRL 生成マスターで、この機能を無効にします。
# ipa-crlgen-manage disable
- 新しい CRL 生成マスターとして設定する他の CA ホストで、この機能を有効にします。
# ipa-crlgen-manage enable
6.5.2.3. 新規マスター CA サーバーが正しく設定されたことの確認
/var/lib/ipa/pki-ca/publish/MasterCRL.bin ファイルが新規マスター CA サーバーにあることを確認します。
このファイルは、
ca.crl.MasterCRL.autoUpdateInterval パラメーターを使用して /etc/pki/pki-tomcat/ca/CS.cfg ファイルで定義した間隔に基づいて生成されます。デフォルト値は 240 分 (4 時間) です。
注記
ca.crl.MasterCRL.autoUpdateInterval パラメーターを更新すると、すでにスケジュールされている CRL の次回更新後に変更が有効になります。
ファイルが存在する場合には、新規マスター CA サーバーが正しく設定され、以前の CA マスターシステムを安全に廃止できます。
6.5.3. IdM サーバーからの IdM CA サービスのアンインストール
Red Hat では、トポロジーに CA ロールが割り当てられた Identity Management (IdM)レプリカの最大数を用意することを推奨します。したがって、4 つ以上のレプリカがあり、冗長な証明書のレプリケーションによりパフォーマンスの問題が発生する場合は、IdM レプリカから冗長な CA サービスインスタンスを削除します。そのためには、当該 IdM レプリカの使用を完全に停止してから、CA サービスを使用せずに IdM を再インストールする必要があります。
重要
IdM レプリカに CA ロールを 追加 することはできますが、IdM では、IdM レプリカから CA ロールのみを 削除 する方法はありません。ipa-ca-install コマンドには
--uninstall オプションがありません。
- 冗長 CA サービスを特定し、このサービスをホストする IdM レプリカ上の 「IdM サーバーのアンインストール」 の手順に従います。
- 同じホストで、ユースケースに応じて 「外部 CA をルート CA として使用するサーバーのインストール」 または 「CA なしでのインストール」 の手順に従います。
