第10章 IdM サーバーのアンインストール

手順

1. IdM 環境で統合 DNS が使用されている場合は、server123 が唯一の 有効な DNS サーバーではないことを確認してください。

   [root@server123 ~]# ipa server-role-find --role 'DNS server'
   ----------------------
   2 server roles matched
   ----------------------
     Server name: server456.idm.example.com
     Role name: DNS server
     Role status: enabled
   [...]
   ----------------------------
   Number of entries returned 2
   ----------------------------

   トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-dns-install(1) の man ページを参照してください。

2. IdM 環境で統合認証局 (CA) が使用されている場合は、以下を行います。

   1. server123 が唯一の 有効 な CA サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、システムの ipa-ca-install(1) の man ページを参照してください。

   2. IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の 有効な Key Recovery Authority (KRA) サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、man ipa-kra-install(1) を参照してください。

   3. server123.idm.example.com が CA 更新サーバーではないことを確認します。

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、IdM CA 更新サーバーの変更およびリセット を参照してください。

   4. server123.idm.example.com が現在の証明書失効リスト (CRL) パブリッシャーではないことを確認します。

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、IdM CA サーバーでの CRL の生成 を参照してください。

3. トポロジー内の別の IdM サーバーに接続します。

   $ ssh idm_user@server456

4. サーバーで、IdM 管理者の認証情報を取得します。

   [idm_user@server456 ~]$ kinit admin

5. トポロジー内のサーバーに割り当てられた DNA ID 範囲を表示します。

   [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
   server123.idm.example.com: 1001-1500
   server456.idm.example.com: 1501-2000
   [...]

   出力は、DNA ID 範囲が server123 と server456 の両方に割り当てられていることを示しています。

6. server123 がトポロジー内で DNA ID 範囲が割り当てられた唯一の IdM サーバーである場合、server456 でテスト IdM ユーザーを作成して、サーバーに DNA ID 範囲が割り当てられていることを確認します。

   [idm_user@server456 ~]$ ipa user-add test_idm_user

7. トポロジーから server123.idm.example.com を削除します。

   [idm_user@server456 ~]$ ipa server-del server123.idm.example.com

   重要

   server123 を削除してトポロジーが切断されると、スクリプトが警告を発します。削除を続行できるようにするために、残りのレプリカ間でレプリカ合意を作成する方法は、CLI を使用した 2 台のサーバー間のレプリケーションの設定 を参照してください。

   注記

   ipa server-del コマンドを実行すると、ドメイン と ca 接尾辞の両方について、server123 に関連するすべてのレプリケーションデータと合意が削除されます。これは、最初に ipa-replica-manage del server123 コマンドを使用してこれらのデータを削除する必要があったドメインレベル 0 IdM トポロジーとは対照的です。ドメインレベル 0 の IdM トポロジーは、RHEL 7.2 以前で実行されているトポロジーです。ipa domainlevel-get コマンドを使用して、現在のドメインレベルを表示します。

8. server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。

   [root@server123 ~]# ipa-server-install --uninstall
   ...
   Are you sure you want to continue with the uninstall procedure? [no]: true

9. server123.idm.example.com を指定しているネームサーバー (NS) の DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、Deleting DNS records in the IdM CLI を参照してください。