3.3. IdM CA データの保護
デプロイメントに統合 IdM 認証局 (CA) が含まれている場合は、CA レプリカをいくつかインストールして、CA レプリカが失われた場合に追加の CA レプリカを作成できるようにします。
手順
CA サービスを提供するように 3 つ以上のレプリカを設定します。
CA サービスを備えた新しいレプリカをインストールするには、
--setup-caオプションを指定してipa-replica-installを実行します。[root@server ~]# ipa-replica-install --setup-ca既存のレプリカに CA サービスをインストールするには、
ipa-ca-installを実行します。[root@replica ~]# ipa-ca-install
CA レプリカ間で CA レプリカ合意を作成します。
[root@careplica1 ~]# ipa topologysegment-add Suffix name: ca Left node: ca-replica1.example.com Right node: ca-replica2.example.com Segment name [ca-replica1.example.com-to-ca-replica2.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: ca-replica1.example.com Right node: ca-replica2.example.com Connectivity: both
警告
CA サービスを提供するサーバーが 1 つしかない場合、それが壊れると、環境全体が失われます。IdM CA を使用する場合、CA サービスがインストールされたレプリカを 3 つ以上用意し、それらの間で CA レプリカ合意を設定ことを 強く推奨 します。
