4.5. 복제 생성: 소개

ipa-replica-install 유틸리티는 기존 IdM 서버에서 새 복제본을 설치하는 데 사용됩니다. Identity Management 복제본을 한 번에 하나씩 설치합니다. 동시에 여러 복제본의 설치는 지원되지 않습니다.

참고

이 장에서는 Red Hat Enterprise Linux 7.3에 도입된 단순화된 복제 설치에 대해 설명합니다. 절차에는 도메인 수준 1이 필요합니다( 7장. 도메인 수준 표시 및 승격참조).

도메인 수준 0에 복제본을 설치하는 방법에 대한 문서는 ??? 를 참조하십시오.

새 복제본을 설치할 수 있습니다.

클라이언트를 복제본으로 승격 하여 기존 IdM 클라이언트에서 다음을 참조하십시오. “복제본으로 기존 클라이언트 승격”
IdM 도메인에 아직 등록되지 않은 시스템에서 다음을 참조하십시오. “클라이언트가 아닌 시스템에 복제 설치”

이러한 두 경우 모두 ipa-replica-install 에 옵션을 추가하여 복제본을 사용자 지정할 수 있습니다. “ipa-replica-install을 사용하여 사용 사례에 맞게 복제 구성” 을 참조하십시오.

복제본을 숨겨진 대로 설치하려면 --hidden-replica 매개 변수를 ipa-replica-install 에 전달합니다. 숨겨진 복제본에 대한 자세한 내용은 4.2.3절. “숨겨진 복제 모드” 을 참조하십시오.

중요

복제 중인 IdM 서버가 Active Directory에 대한 신뢰가 있는 경우 ipa-replica-install 을 실행한 후 복제본을 신뢰 에이전트로 설정합니다. Windows 통합 가이드에서 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

복제본으로 기존 클라이언트 승격

기존 클라이언트에 복제본을 설치하려면 클라이언트가 승격할 권한이 있는지 확인해야 합니다. 이를 수행하려면 다음 중 하나를 선택하십시오.

권한 있는 사용자의 자격 증명 제공

기본 권한 있는 사용자는 admin 입니다. 사용자의 자격 증명을 제공하는 방법에는 여러 가지가 있습니다. 다음을 수행할 수 있습니다.

IdM에 자격 증명을 대화형으로 가져오도록 요청합니다.
참고
이는 권한 있는 사용자의 자격 증명을 제공하는 기본 방법입니다. ipa-replica-install 을 실행할 때 자격 증명을 사용할 수 없는 경우 설치에 자동으로 메시지가 표시됩니다.
클라이언트에서 ipa-replica-install 을 실행하기 전에 사용자로 로그인합니다.
```
$ kinit admin
```
사용자의 주체 이름과 암호를 ipa-replica-install 에 직접 추가합니다.
```
# ipa-replica-install --principal admin --admin-password admin_password
```

ipaservers 호스트 그룹에 클라이언트 추가

ipaservers 의 멤버십은 시스템에 권한 있는 사용자 자격 증명과 유사한 권한을 부여합니다. 사용자의 자격 증명을 제공할 필요가 없습니다.

예: 4.5.1절. “호스트 키 탭을 사용하여 클라이언트 승격”

클라이언트가 아닌 시스템에 복제 설치

IdM 도메인에 아직 등록되지 않은 시스템에서 실행하는 경우 ipa-replica-install 은 먼저 시스템을 클라이언트로 등록한 다음 복제본 구성 요소를 설치합니다.

이 상황에서 복제본을 설치하려면 다음 중 하나를 선택합니다.

권한 있는 사용자의 자격 증명 제공

기본 권한 있는 사용자는 admin 입니다. 인증 정보를 제공하려면 주 이름과 암호를 ipa-replica-install 에 직접 추가합니다.

# ipa-replica-install --principal admin --admin-password admin_password

클라이언트에 임의의 암호를 제공

복제본을 설치하기 전에 서버에서 임의의 암호를 생성해야 합니다. 설치하는 동안 사용자의 자격 증명을 제공하지 않아도 됩니다.

예: 4.5.2절. “임의 암호를 사용하여 복제본 설치”

기본적으로 복제본은 클라이언트 설치 프로그램에서 검색한 첫 번째 IdM 서버에 대해 설치됩니다. 특정 서버에 대해 복제본을 설치하려면 ipa-replica-install 에 다음 옵션을 추가합니다.

서버의 정규화된 도메인 이름(FQDN)에 대한 --server
IdM DNS 도메인의 --domain

ipa-replica-install을 사용하여 사용 사례에 맞게 복제 구성

옵션 없이 실행하는 경우 ipa-replica-install 은 기본 서버 서비스만 설정합니다. DNS 또는 CA(인증 기관)와 같은 추가 서비스를 설치하려면 ipa-replica-install 에 옵션을 추가합니다.

주의

두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.

CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.

주요 옵션을 사용하여 복제본을 설치하는 시나리오의 예는 다음을 참조하십시오.

4.5.3절. “DNS를 사용하여 복제본 설치”, --setup-dns 및 --forwarder사용
4.5.4절. “CA를 사용하여 복제본 설치”, using --setup-ca
4.5.5절. “CA 없이 서버에서 복제본 설치”--dirsrv-cert-file,--dirsrv-pin,--http-cert-file 및 --http-pin사용

사용자 지정 값으로 LDIF 파일의 경로를 지정하여 --dirsrv-config-file 매개변수를 사용하여 기본 Directory Server 설정을 변경할 수도 있습니다. 자세한 내용은 Red Hat Enterprise Linux 7.3 릴리스 노트에서 서버 또는 복제본 설치 중에 개별 디렉터리 서버 옵션 설정을 지원하는 IdM 을 참조하십시오.

복제본을 구성하는 데 사용되는 옵션의 전체 목록은 ipa-replica-install(1) 도움말 페이지를 참조하십시오.

4.5.1. 호스트 키 탭을 사용하여 클라이언트 승격

이 프로세스에서 기존 IdM 클라이언트는 고유한 호스트 키탭을 사용하여 승격을 승인하도록 복제로 승격됩니다.

이 절차에서는 관리자 또는 DM(Directory Manager) 자격 증명을 제공하지 않아도 됩니다. 따라서 중요한 정보가 명령줄에 노출되지 않으므로 더 안전합니다.

기존 서버에서 다음을 수행합니다.

관리자로 로그인합니다.
```
$ kinit admin
```

ipaservers 호스트 그룹에 클라이언트 시스템을 추가합니다.

$ ipa hostgroup-add-member ipaservers --hosts client.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.example.com, client.example.com
-------------------------
Number of members added 1
-------------------------

ipaservers 의 멤버십은 관리자의 자격 증명과 유사한 권한을 시스템에 부여합니다.

클라이언트에서 ipa-replica-install 유틸리티를 실행합니다.
```
# ipa-replica-install
```
복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.2. 임의 암호를 사용하여 복제본 설치

이 절차에서는 IdM 클라이언트가 아닌 시스템에 처음부터 복제본이 설치됩니다. 등록을 승인하기 위해 하나의 클라이언트 등록에만 유효한 클라이언트별 임의 암호를 사용합니다.

이 절차에서는 관리자 또는 DM(Directory Manager) 자격 증명을 제공하지 않아도 됩니다. 따라서 중요한 정보가 명령줄에 노출되지 않으므로 더 안전합니다.

기존 서버에서 다음을 수행합니다.
1. 관리자로 로그인합니다.
```
$ kinit admin
```
2. 새 시스템을 IdM 호스트로 추가합니다. ipa host-add 명령과 함께 --random 옵션을 사용하여 복제본 설치에 사용할 임의의 일회성 암호를 생성합니다.
```
$ ipa host-add client.example.com --random
--------------------------------------------------
Added host "client.example.com"
--------------------------------------------------
  Host name: client.example.com
  Random password: W5YpARl=7M.n
  Password: True
  Keytab: False
  Managed by: server.example.com
```
  시스템을 IdM 도메인에 등록하는 데 사용한 후 생성된 암호가 유효하지 않습니다. 등록이 완료되면 적절한 호스트 키탭으로 바뀝니다.
3. ipaservers 호스트 그룹에 시스템을 추가합니다.
```
$ ipa hostgroup-add-member ipaservers --hosts client.example.com
  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: server.example.com, client.example.com
-------------------------
Number of members added 1
-------------------------
```
  ipaservers 의 멤버십은 필요한 서버 서비스를 설정하는 데 필요한 시스템에 높은 권한을 부여합니다.
복제본을 설치할 시스템에서 ipa-replica-install 을 실행하고 --password 옵션을 사용하여 임의의 암호를 제공합니다. 종종 특수 문자가 포함되어 있으므로 암호를 작은따옴표(')로 묶습니다.
```
# ipa-replica-install --password 'W5YpARl=7M.n'
```
복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.3. DNS를 사용하여 복제본 설치

이 절차는 아직 IdM 도메인에 포함되지 않은 시스템과 클라이언트에 복제본을 설치하는 데 효과적입니다. 자세한 내용은 4.5절. “복제 생성: 소개” 을 참조하십시오.

다음 옵션을 사용하여 ipa-replica-install 을 실행합니다.
- DNS 영역이 없는 경우 --setup-dns 를 사용하여 DNS 영역을 생성하고 복제를 DNS 서버로 구성합니다.
- 전달자 를 사용하지 않으려면 전달자를 지정하거나 --no-forwarder 를 지정합니다.
  페일오버를 위해 여러 전달자를 지정하려면 --forwarder 를 여러 번 사용합니다.
예를 들어 다음과 같습니다.
```
# ipa-replica-install --setup-dns --forwarder 192.0.2.1
```
참고
ipa-replica-install 유틸리티는 --no-reverse 또는 --no-host-dns 와 같은 여러 DNS 설정과 관련된 여러 옵션을 허용합니다. 이에 대한 자세한 내용은 ipa-replica-install(1) 매뉴얼 페이지를 참조하십시오.
DNS가 활성화된 초기 서버를 사용하여 만든 경우 올바른 DNS 항목을 사용하여 복제본이 자동으로 생성됩니다. 항목을 통해 IdM 클라이언트에서 새 서버를 검색할 수 있습니다.
초기 서버에 DNS를 활성화하지 않은 경우 DNS 레코드를 수동으로 추가합니다. 다음 DNS 레코드는 도메인 서비스에 필요합니다.
- _ldap._tcp
- _kerberos._tcp
- _kerberos._udp
- _kerberos-master._tcp
- _kerberos-master._udp
- _ntp._udp
- _kpasswd._tcp
- _kpasswd._udp
이 예제에서는 항목이 있는지 확인하는 방법을 보여줍니다.
1. DOMAIN 및 NAMESERVER 변수에 적절한 값을 설정합니다.
```
# DOMAIN=example.com
# NAMESERVER=replica
```
2. 다음 명령을 사용하여 DNS 항목을 확인합니다.
```
# for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
done | egrep "^_"

_ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
_ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
_kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
...
```
상위 도메인에서 IdM DNS 도메인에 DNS 위임을 추가합니다. 예를 들어 IdM DNS 도메인이 ipa.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.
중요
IdM DNS 서버가 설치될 때마다 이 단계를 반복해야 합니다.
선택 사항이지만 권장 사항입니다. 복제본을 사용할 수 없는 경우 수동으로 다른 DNS 서버를 백업 서버로 추가합니다. 33.11.1절. “추가 이름 서버 설정” 참조하십시오. 이 방법은 새 복제본이 IdM 도메인의 첫 번째 DNS 서버인 경우 특히 권장됩니다.
복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.4. CA를 사용하여 복제본 설치

--setup-ca 옵션을 사용하여 ipa-replica-install 을 실행합니다.
```
[root@replica ~]# ipa-replica-install --setup-ca
```
setup -ca 옵션은 서버의 IdM CA가 루트 CA인지 아니면 외부 CA로 종속되었는지 여부에 관계없이 초기 서버의 구성에서 CA 구성을 복사합니다.
참고
지원되는 CA 구성에 대한 자세한 내용은 2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.5. CA 없이 서버에서 복제본 설치

중요

자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.

ipa-replica-install 을 실행하고 다음 옵션을 추가하여 필요한 인증서 파일을 제공합니다.
- --dirsrv-cert-file
- --dirsrv-pin
- --http-cert-file
- --http-pin
이러한 옵션을 사용하여 제공되는 파일에 대한 자세한 내용은 2.3.6절. “CA 없는 상태에서 설치” 을 참조하십시오.
예를 들어 다음과 같습니다.
```
[root@replica ~]# ipa-replica-install \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret
```
참고
ca -cert-file 옵션을 추가하지 마십시오. ipa-replica-install 유틸리티는 마스터 서버에서 인증서 정보의 이 부분을 자동으로 가져옵니다.
복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

맨 위로 이동

4.5. 복제 생성: 소개

복제본으로 기존 클라이언트 승격

클라이언트가 아닌 시스템에 복제 설치

ipa-replica-install을 사용하여 사용 사례에 맞게 복제 구성

4.5.1. 호스트 키 탭을 사용하여 클라이언트 승격

4.5.2. 임의 암호를 사용하여 복제본 설치

4.5.3. DNS를 사용하여 복제본 설치

4.5.4. CA를 사용하여 복제본 설치

4.5.5. CA 없이 서버에서 복제본 설치

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links