第 2 章 使用复制恢复单个服务器

流程

1. 从环境中的另一个副本中，升级环境中的另一个 CA 副本，以作为新的 CA 续订服务器。请参阅更改和重置 IdM CA 续订服务器。
2. 从环境中的另一个副本中，将复制协议删除丢失的 CA 续订服务器。请参阅 使用 CLI 从拓扑中删除服务器。
3. 安装一个新的 CA Replica 来替换丢失的 CA 副本。请参阅使用 CA 安装 IdM 副本。
4. 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS，则会自动更新 DNS 服务记录。
5. 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端。

验证

1. 以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。

   [root@server ~]# kinit admin
   Password for admin@EXAMPLE.COM:
   
   [root@server ~]# klist
   Ticket cache: KCM:0
   Default principal: admin@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
   10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

2. 通过检索用户信息，测试 Directory 服务器和 SSSD 配置。

   [root@server ~]# ipa user-show admin
     User login: admin
     Last name: Administrator
     Home directory: /home/admin
     Login shell: /bin/bash
     Principal alias: admin@EXAMPLE.COM
     UID: 1965200000
     GID: 1965200000
     Account disabled: False
     Password: True
     Member of groups: admins, trust admins
     Kerberos keys available: True

   Copy to Clipboard Toggle word wrap

3. 使用 ipa cert-show 命令测试 CA 配置。

   [root@server ~]# ipa cert-show 1
     Issuing CA: ipa
     Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
     Subject: CN=Certificate Authority,O=EXAMPLE.COM
     Issuer: CN=Certificate Authority,O=EXAMPLE.COM
     Not Before: Thu Oct 31 19:43:29 2019 UTC
     Not After: Mon Oct 31 19:43:29 2039 UTC
     Serial number: 1
     Serial number (hex): 0x1
     Revoked: False

   Copy to Clipboard Toggle word wrap