第 10 章 卸载 IdM 服务器

流程

1. 如果您的 IdM 环境使用集成的 DNS，请确保 server123 不是唯一 启用的 DNS 服务器：

   [root@server123 ~]# ipa server-role-find --role 'DNS server'
   ----------------------
   2 server roles matched
   ----------------------
     Server name: server456.idm.example.com
     Role name: DNS server
     Role status: enabled
   [...]
   ----------------------------
   Number of entries returned 2
   ----------------------------

   如果 server123 是拓扑中唯一剩余的 DNS 服务器，请将 DNS 服务器角色添加到另一台 IdM 服务器。如需更多信息，请参阅系统中的 ipa-dns-install (1) 手册页。

2. 如果您的 IdM 环境使用集成证书颁发机构(CA)：

   1. 确保 server123 不是唯一 启用的 CA 服务器：

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 CA 服务器，请将 CA 服务器角色添加到另一台 IdM 服务器。如需更多信息，请参阅系统中的 ipa-ca-install (1) 手册页。

   2. 如果您在 IdM 环境中已经启用了 vault，请确保 server123.idm.example.com 不是唯一 启用的 密钥恢复机构(KRA)服务器：

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 KRA 服务器，请将 KRA 服务器角色添加到另一台 IdM 服务器。如需更多信息，请参阅 man ipa-kra-install(1)。

   3. 确保 server123.idm.example.com 不是 CA 续订服务器：

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      如果 server123 是 CA 续订服务器，请参阅 更改和重置 IdM CA 续订服务器，以了解有关如何将 CA 续订服务器角色移到另一台服务器的更多信息。

   4. 确保 server123.idm.example.com 不是当前证书撤销列表(CRL)发布者：

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      如果输出显示已在 server123 上启用了 CRL 生成，请参阅 在 IdM CA 服务器上生成 CRL ，以了解有关如何将 CRL 发布者角色移到另一台服务器的更多信息。

3. 连接到拓扑中的另一台 IdM 服务器：

   $ ssh idm_user@server456

4. 在服务器上，获取 IdM 管理员的凭证：

   [idm_user@server456 ~]$ kinit admin

5. 查看拓扑中分配给服务器的 DNA ID 范围：

   [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
   server123.idm.example.com: 1001-1500
   server456.idm.example.com: 1501-2000
   [...]

   输出显示分配给 server123 和 server456 的一个 DNA ID 范围。

6. 如果 server123 是分配了 DNA ID 范围的拓扑中唯一的 IdM 服务器，请在 server456 上创建一个测试 IdM 用户，以确保服务器已分配了 DNA ID 范围：

   [idm_user@server456 ~]$ ipa user-add test_idm_user

7. 从拓扑中删除 server123.idm.example.com：

   [idm_user@server456 ~]$ ipa server-del server123.idm.example.com

   重要

   如果删除 server123 会导致断开连接的拓扑，则脚本会发出警告。有关如何在剩余的副本之间创建复制协议，以便删除可以继续的信息，请参阅 使用 CLI 在两个服务器之间设置复制。

   注意

   运行 ipa server-del 命令会删除与 domain 和 ca 后缀的 server123 相关的所有复制数据和协议。这与域级别 0 IdM 拓扑正相反，其中您最初需要使用 ipa-replica-manage del server123 命令删除这些数据。域级别 0 IdM 拓扑是运行在 RHEL 7.2 及更早的版本中的拓扑。使用 ipa domainlevel-get 命令查看当前域级别。

8. 返回到 server123.idm.example.com ，并卸载现有的 IdM 安装：

   [root@server123 ~]# ipa-server-install --uninstall
   ...
   Are you sure you want to continue with the uninstall procedure? [no]: true

9. 确定指向 server123.idm.example.com 的所有名称服务器(NS)DNS 记录已从您的 DNS 区域中删除。无论您使用由 IdM 还是外部 DNS 管理的集成 DNS，这个均适用。有关如何从 IdM 中删除 DNS 记录的更多信息，请参阅 在 IdM CLI 中删除 DNS 记录。