5.3. Restauration d'un serveur IdM à partir d'une sauvegarde
La procédure suivante décrit la restauration d'un serveur IdM ou de ses données LDAP à partir d'une sauvegarde IdM.
Figure 5.1. Topologie de réplication utilisée dans cet exemple
Nom d'hôte du serveur | Fonction |
---|---|
| Le serveur qui doit être restauré à partir de la sauvegarde. |
|
Une réplique de l'autorité de certification (CA) connectée à l'hôte |
|
Une réplique connectée à l'hôte |
Conditions préalables
-
Vous avez généré une sauvegarde complète du serveur ou des données uniquement du serveur IdM à l'aide de l'utilitaire
ipa-backup
. Voir Création d'une sauvegarde. -
Vos fichiers de sauvegarde ne se trouvent pas dans les répertoires
/tmp
ou/var/tmp
. - Avant d'effectuer une restauration complète du serveur à partir d'une sauvegarde complète du serveur, désinstallez IdM du serveur et réinstallez IdM en utilisant la même configuration de serveur qu'auparavant.
Procédure
Utilisez l'utilitaire
ipa-restore
pour restaurer un serveur complet ou une sauvegarde de données uniquement.Si le répertoire de sauvegarde se trouve dans l'emplacement par défaut
/var/lib/ipa/backup/
, saisissez uniquement le nom du répertoire :[root@server1 ~]# ipa-restore ipa-full-2020-01-14-12-02-32
Si le répertoire de sauvegarde ne se trouve pas à l'emplacement par défaut, saisissez son chemin d'accès complet :
[root@server1 ~]# ipa-restore /mybackups/ipa-data-2020-02-01-05-30-00
NoteL'utilitaire
ipa-restore
détecte automatiquement le type de sauvegarde que le répertoire contient et effectue le même type de restauration par défaut. Pour effectuer une restauration de données uniquement à partir d'une sauvegarde complète du serveur, ajoutez l'option--data
à la commandeipa-restore
:[root@server1 ~]# ipa-restore --data ipa-full-2020-01-14-12-02-32
Saisissez le mot de passe du gestionnaire de répertoire.
Mot de passe du gestionnaire d'annuaire (maître existant) :
Entrez
yes
pour confirmer l'écrasement des données actuelles par la sauvegarde.Preparing restore from /var/lib/ipa/backup/ipa-full-2020-01-14-12-02-32 on server1.example.com Performing FULL restore from FULL backup Temporary setting umask to 022 Restoring data will overwrite existing live data. Continue to restore? [no]: yes
L'utilitaire
ipa-restore
désactive la réplication sur tous les serveurs disponibles :Each master will individually need to be re-initialized or re-created from this one. The replication agreements on masters running IPA 3.1 or earlier will need to be manually re-enabled. See the man page for details. Disabling all replication. Disabling replication agreement on server1.example.com to caReplica2.example.com Disabling CA replication agreement on server1.example.com to caReplica2.example.com Disabling replication agreement on caReplica2.example.com to server1.example.com Disabling replication agreement on caReplica2.example.com to replica3.example.com Disabling CA replication agreement on caReplica2.example.com to server1.example.com Disabling replication agreement on replica3.example.com to caReplica2.example.com
L'utilitaire arrête ensuite les services IdM, restaure la sauvegarde et redémarre les services :
Stopping IPA services Systemwide CA database updated. Restoring files Systemwide CA database updated. Restoring from userRoot in EXAMPLE-COM Restoring from ipaca in EXAMPLE-COM Restarting GSS-proxy Starting IPA services Restarting SSSD Restarting oddjobd Restoring umask to 18 The ipa-restore command was successful
Réinitialiser toutes les répliques connectées au serveur restauré :
Listez tous les segments de topologie de réplication pour le suffixe
domain
, en prenant note des segments de topologie impliquant le serveur restauré.[root@server1 ~]# ipa topologysegment-find domain ------------------ 2 segments matched ------------------ Segment name: server1.example.com-to-caReplica2.example.com Left node: server1.example.com Right node: caReplica2.example.com Connectivity: both Segment name: caReplica2.example.com-to-replica3.example.com Left node: caReplica2.example.com Right node: replica3.example.com Connectivity: both ---------------------------- Number of entries returned 2 ----------------------------
Réinitialisez le suffixe
domain
pour tous les segments de la topologie avec le serveur restauré.Dans cet exemple, il s'agit de réinitialiser
caReplica2
avec des données provenant deserver1
.[root@caReplica2 ~]# ipa-replica-manage re-initialize --from=server1.example.com Update in progress, 2 seconds elapsed Update succeeded
En ce qui concerne les données relatives à l'autorité de certification, dressez la liste de tous les segments de la topologie de réplication pour le suffixe
ca
.[root@server1 ~]# ipa topologysegment-find ca ----------------- 1 segment matched ----------------- Segment name: server1.example.com-to-caReplica2.example.com Left node: server1.example.com Right node: caReplica2.example.com Connectivity: both ---------------------------- Number of entries returned 1 ----------------------------
Réinitialisez toutes les répliques de CA connectées au serveur restauré.
Dans cet exemple, nous effectuons une réinitialisation de
csreplica
à partir decaReplica2
avec des données provenant deserver1
.[root@caReplica2 ~]# ipa-csreplica-manage re-initialize --from=server1.example.com Directory Manager password: Update in progress, 3 seconds elapsed Update succeeded
Continuez à vous déplacer vers l'extérieur dans la topologie de réplication, en réinitialisant les répliques successives, jusqu'à ce que tous les serveurs aient été mis à jour avec les données du serveur restauré
server1.example.com
.Dans cet exemple, il suffit de réinitialiser le suffixe
domain
surreplica3
avec les données decaReplica2
:[root@replica3 ~]# ipa-replica-manage re-initialize --from=caReplica2.example.com Directory Manager password: Update in progress, 3 seconds elapsed Update succeeded
Vider le cache de SSSD sur chaque serveur pour éviter les problèmes d'authentification dus à des données non valides :
Arrêtez le service SSSD :
[root@server ~]# systemctl stop sssd
Supprimer tout le contenu mis en cache du SSSD :
[root@server ~]# sss_cache -E
Démarrez le service SSSD :
[root@server ~]# systemctl start sssd
- Redémarrer le serveur.
Ressources supplémentaires
-
La page de manuel
ipa-restore (1)
couvre également en détail la manière de gérer les scénarios de réplication complexes lors de la restauration.