第10章 IdM サーバーのアンインストール

手順

1. IdM 環境で統合 DNS を使用している場合は、server123 が唯一の有効な (enabled) DNS サーバーではないことを確認します。

   [root@server123 ~]# ipa server-role-find --role 'DNS server'
   ----------------------
   2 server roles matched
   ----------------------
     Server name: server456.idm.example.com
     Role name: DNS server
     Role status: enabled
   [...]
   ----------------------------
   Number of entries returned 2
   ----------------------------

   トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-dns-install(1) の man ページを参照してください。

2. IdM 環境で統合認証局 (CA) が使用されている場合は、以下を行います。

   1. server123 が唯一の有効な (enabled) CA サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-ca-install(1) の man ページを参照してください。

   2. IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の有効な (enabled) Key Recovery Authority (KRA) サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、man ipa-kra-install(1) を参照してください。

   3. server123.idm.example.com が CA 更新サーバーではないことを確認します。

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: server.idm.example.com

      server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、IdM CA 更新サーバーの変更およびリセット を参照してください。

   4. server123.idm.example.com が現在の証明書失効リスト (CRL) パブリッシャーではないことを確認します。

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、IdM CA サーバーでの CRL の生成 を参照してください。

3. トポロジー内の別の IdM サーバーに接続します。

   $ ssh idm_user@server456

4. サーバーで、IdM 管理者の認証情報を取得します。

   [idm_user@server456 ~]$ kinit admin

5. トポロジー内のサーバーに割り当てられた DNA ID 範囲を表示します。

   [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
   server123.idm.example.com: 1001-1500
   server456.idm.example.com: 1501-2000
   [...]

   出力は、DNA ID 範囲が server123 と server456 の両方に割り当てられていることを示しています。

6. server123 がトポロジー内で DNA ID 範囲が割り当てられた唯一の IdM サーバーである場合、server456 でテスト IdM ユーザーを作成して、サーバーに DNA ID 範囲が割り当てられていることを確認します。

   [idm_user@server456 ~]$ ipa user-add test_idm_user

7. トポロジーから server123.idm.example.com を削除します。

   [idm_user@server456 ~]$ ipa server-del server123.idm.example.com

   重要

   server123 を削除してトポロジーが切断されると、スクリプトが警告を発します。削除を続行できるように残りのレプリカ間でレプリカ合意を作成する方法は、CLI を使用した 2 つのサーバー間のレプリケーションの設定 を参照してください。

   注記

   ipa server-del コマンドを実行すると、domain と ca の両方の接尾辞について、server123 に関連するすべてのレプリケーションデータとレプリカ合意が削除されます。これは、最初に ipa-replica-manage del server123 コマンドを使用してこれらのデータを削除する必要があったドメインレベル 0 IdM トポロジーとは対照的です。ドメインレベル 0 の IdM トポロジーは、RHEL 7.2 以前で実行されているトポロジーです。ipa domainlevel-get コマンドを使用して、現在のドメインレベルを表示します。

8. server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。

   [root@server123 ~]# ipa-server-install --uninstall
   ...
   Are you sure you want to continue with the uninstall procedure? [no]: true

9. server123.idm.example.com を指定しているネームサーバー (NS) の DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法の詳細は、以下を参照してください。