Chapitre 9. Désinstallation d'un serveur IdM
Cette procédure décrit comment désinstaller un serveur de gestion des identités (IdM) nommé server123.idm.example.com (server123).
Conditions préalables
-
Vous avez un accès
rootau serveur123. - Vous disposez des informations d'identification d'un administrateur IdM.
Procédure
Si votre environnement IdM utilise des DNS intégrés, assurez-vous que le serveur 123 n'est pas le seul serveur DNS
enabled:[root@server123 ~]# ipa server-role-find --role 'DNS server' ---------------------- 2 server roles matched ---------------------- Server name: server456.idm.example.com Role name: DNS server Role status: enabled [...] ---------------------------- Number of entries returned 2 ----------------------------
Si server123 est le seul serveur DNS restant dans la topologie, ajoutez le rôle de serveur DNS à un autre serveur IdM. Pour plus d'informations, voir la page de manuel
ipa-dns-install(1).Si votre environnement IdM utilise une autorité de certification (CA) intégrée :
Assurez-vous que le serveur 123 n'est pas le seul serveur CA
enabled:[root@server123 ~]# ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: CA server Role status: enabled Server name: r8server.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
Si server123 est le seul serveur CA restant dans la topologie, ajoutez le rôle de serveur CA à un autre serveur IdM. Pour plus d'informations, voir la page de manuel
ipa-ca-install(1).Si vous avez activé les chambres fortes dans votre environnement IdM, assurez-vous que server123.idm.example.com n'est pas le seul serveur
enabledKey Recovery Authority (KRA) :[root@server123 ~]# ipa server-role-find --role 'KRA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: KRA server Role status: enabled Server name: r8server.idm.example.com Role name: KRA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
Si server123 est le seul serveur KRA restant dans la topologie, ajoutez le rôle de serveur KRA à un autre serveur IdM. Pour plus d'informations, voir
man ipa-kra-install(1).Assurez-vous que server123.idm.example.com n'est pas le serveur de renouvellement de l'autorité de certification :
[root@server123 ~]# ipa config-show | grep 'CA renewal' IPA CA renewal master: r8server.idm.example.com
Si server123 est le serveur de renouvellement de l'autorité de certification, voir Modification et réinitialisation du serveur de renouvellement de l'autorité de certification IdM pour plus d'informations sur la manière de déplacer le rôle de serveur de renouvellement de l'autorité de certification vers un autre serveur.
Assurez-vous que server123.idm.example.com n'est pas l'éditeur actuel de la liste de révocation des certificats (CRL) :
[root@server123 ~]# ipa-crlgen-manage status CRL generation: disabled
Si la sortie montre que la génération de CRL est activée sur server123, voir Generating CRL on an IdM CA server pour plus d'informations sur la façon de déplacer le rôle d'éditeur de CRL vers un autre serveur.
Se connecter à un autre serveur IdM dans la topologie :
$ ssh idm_user@server456Sur le serveur, obtenez les informations d'identification de l'administrateur IdM :
[idm_user@server456 ~]$ kinit adminAffichez les plages d'ID DNA attribuées aux serveurs dans la topologie :
[idm_user@server456 ~]$ ipa-replica-manage dnarange-show server123.idm.example.com: 1001-1500 server456.idm.example.com: 1501-2000 [...]La sortie montre qu'une plage d'ID ADN est attribuée à la fois au serveur123 et au serveur456.
Si le serveur 123 est le seul serveur IdM de la topologie auquel une plage d'ID ADN a été attribuée, créez un utilisateur IdM de test sur le serveur 456 pour vous assurer qu'une plage d'ID ADN a été attribuée au serveur :
[idm_user@server456 ~]$ ipa user-add test_idm_userSupprimer server123.idm.example.com de la topologie :
[idm_user@server456 ~]$ ipa server-del server123.idm.example.comImportantSi la suppression de server123 entraîne une topologie déconnectée, le script vous en avertit. Pour plus d'informations sur la création d'un accord de réplication entre les répliques restantes afin que la suppression puisse avoir lieu, voir Configuration de la réplication entre deux serveurs à l'aide de l'interface de programmation.
NoteL'exécution de la commande
ipa server-delsupprime toutes les données de réplication et tous les accords liés au serveur123 pour les suffixesdomainetca. Contrairement aux topologies IdM de niveau 0 du domaine, où vous devez d'abord supprimer ces données à l'aide de la commandeipa-replica-manage del server123pour supprimer ces données. Les topologies IdM de niveau 0 sont celles qui fonctionnent sous RHEL 7.2 et les versions antérieures. Utilisez la commandeipa domainlevel-getpour afficher le niveau de domaine actuel.Retournez sur server123.idm.example.com et désinstallez l'installation IdM existante :
[root@server123 ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: yes- Assurez-vous que tous les enregistrements DNS du serveur de noms (NS) pointant vers server123.idm.example.com sont supprimés de vos zones DNS. Cela s'applique indépendamment du fait que vous utilisiez un DNS intégré géré par IdM ou un DNS externe. Pour plus d'informations sur la manière de supprimer des enregistrements DNS de l'IdM, voir Suppression d'enregistrements DNS dans la CLI de l'IdM.
Ressources supplémentaires
