10장. IdM 서버 설치 제거
server123.idm.example.com (server123)이라는 IdM(Identity Management) 서버를 제거하려면 다음 절차를 따르십시오. 이 절차에서는 먼저 다른 서버가 중요한 서비스를 실행 중인지 확인하고 제거를 수행하기 전에 토폴로지가 계속 중복되도록 합니다.
사전 요구 사항
-
server123에 대한
루트
액세스 권한이 있습니다. - IdM 관리자의 인증 정보가 있습니다.
절차
IdM 환경에서 통합 DNS를 사용하는 경우 server123이
활성화된
유일한 DNS 서버가 아닌지 확인합니다.[root@server123 ~]# ipa server-role-find --role 'DNS server' ---------------------- 2 server roles matched ---------------------- Server name: server456.idm.example.com Role name: DNS server Role status: enabled [...] ---------------------------- Number of entries returned 2 ----------------------------
server123이 토폴로지의 나머지 DNS 서버인 경우 다른 IdM 서버에 DNS 서버 역할을 추가합니다. 자세한 내용은 시스템의
ipa-dns-install(1)
매뉴얼 페이지를 참조하십시오.IdM 환경에서 통합 CA(인증 기관)를 사용하는 경우:
server123이 유일하게
활성화된
CA 서버가 아닌지 확인합니다.[root@server123 ~]# ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: CA server Role status: enabled Server name: r8server.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
server123이 토폴로지의 유일한 나머지 CA 서버인 경우 다른 IdM 서버에 CA 서버 역할을 추가합니다. 자세한 내용은 시스템의
ipa-ca-install(1)
매뉴얼 페이지를 참조하십시오.IdM 환경에서 자격 증명 모음을 활성화한 경우, server123.idm.example.com이 유일하게
활성화된
KMS 복구 기관(KRA) 서버가 아닌지 확인합니다.[root@server123 ~]# ipa server-role-find --role 'KRA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: KRA server Role status: enabled Server name: r8server.idm.example.com Role name: KRA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
server123이 토폴로지에 있는 유일한 KRA 서버인 경우 다른 IdM 서버에 KRA 서버 역할을 추가합니다. 자세한 내용은
man ipa-kra-install(1)
에서 참조하십시오.server123.idm.example.com이 CA 갱신 서버가 아닌지 확인합니다.
[root@server123 ~]# ipa config-show | grep 'CA renewal' IPA CA renewal master: r8server.idm.example.com
server123이 CA 갱신 서버인 경우 CA 갱신 서버 역할을 다른 서버로 이동하는 방법에 대한 자세한 내용은 IdM CA 갱신 서버 변경 및 재설정 을 참조하십시오.
server123.idm.example.com이 현재 인증서 해지 목록(CRL) 게시자가 아닌지 확인합니다.
[root@server123 ~]# ipa-crlgen-manage status CRL generation: disabled
출력에 server123에서 CRL 생성이 활성화되어 있는 경우 CRL 게시자 역할을 다른 서버로 이동하는 방법에 대한 자세한 내용은 IdM CA 서버에서 CRL 생성 을 참조하십시오.
토폴로지의 다른 IdM 서버에 연결합니다.
$ ssh idm_user@server456
서버에서 IdM 관리자의 자격 증명을 가져옵니다.
[idm_user@server456 ~]$ kinit admin
토폴로지의 서버에 할당된 DNA ID 범위를 확인합니다.
[idm_user@server456 ~]$ ipa-replica-manage dnarange-show server123.idm.example.com: 1001-1500 server456.idm.example.com: 1501-2000 [...]
출력에서는 DNA ID 범위가 server123과 server456 모두에 할당되었음을 보여줍니다.
server123이 DNA ID 범위가 할당된 토폴로지의 유일한 IdM 서버인 경우 server456에 테스트 IdM 사용자를 생성하여 서버에 DNA ID 범위가 할당되어 있는지 확인합니다.
[idm_user@server456 ~]$ ipa user-add test_idm_user
토폴로지에서 server123.idm.example.com을 삭제합니다.
[idm_user@server456 ~]$ ipa server-del server123.idm.example.com
중요server123을 삭제하면 연결이 끊긴 토폴로지가 발생하는 경우 스크립트에서 해당 토폴로지에 대해 경고합니다. 삭제를 진행할 수 있도록 나머지 복제본 간에 복제 계약을 생성하는 방법에 대한 자세한 내용은 CLI를 사용하여 두 서버 간 복제 설정을 참조하십시오.
참고ipa server-del
명령을 실행하면도메인
및ca
접미사 모두 server123과 관련된 모든 복제 데이터 및 계약이 제거됩니다. 이는 처음에는ipa-replica-manage del server123
명령을 사용하여 이러한 데이터를 제거해야 하는 도메인 수준 0 IdM 토폴로지와 다릅니다. 도메인 수준 0 IdM 토폴로지는 RHEL 7.2 이하에서 실행되는 IdM 토폴로지입니다.ipa domainlevel-get
명령을 사용하여 현재 도메인 수준을 확인합니다.server123.idm.example.com으로 돌아가 기존 IdM 설치를 제거합니다.
[root@server123 ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: true
- server123.idm.example.com을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다. IdM에서 DNS 레코드를 삭제하는 방법에 대한 자세한 내용은 IdM CLI에서 DNS 레코드 삭제를 참조하십시오.
추가 리소스