红帽全球峰会4.3. 从虚拟机快照恢复以建立新的 IdM 环境
如果来自恢复的虚拟机 (VM) 快照中的证书颁发机构 (CA) 副本无法在其他服务器中复制,请从虚拟机快照创建一个新的 IdM 环境。
要建立新的 IdM 环境,隔离虚拟机服务器,从其中创建额外的副本,并将 IdM 客户端切换到新环境。
先决条件
- 您已准备了 CA 副本虚拟机的虚拟机快照。请参阅使用虚拟机快照准备数据丢失的情况。
流程
- 引导 CA 副本虚拟机所需的快照。
通过移除所有复制拓扑片段,将恢复的服务器与当前部署的其余部分隔离。
首先,显示所有
domain复制拓扑片段。[root@restored-CA-replica ~]# ipa topologysegment-find Suffix name: domain ------------------ 8 segments matched ------------------ Segment name: new_segment Left node: restored-CA-replica.example.com Right node: server2.example.com Connectivity: both ... ---------------------------- Number of entries returned 8 ----------------------------
接下来,删除涉及恢复的服务器的每个
domain拓扑片段。[root@restored-CA-replica ~]# ipa topologysegment-del Suffix name: domain Segment name: new_segment ----------------------------- Deleted segment "new_segment" -----------------------------
最后,在任何
ca拓扑片段中执行相同的操作。[root@restored-CA-replica ~]# ipa topologysegment-find Suffix name: ca ------------------ 1 segments matched ------------------ Segment name: ca_segment Left node: restored-CA-replica.example.com Right node: server4.example.com Connectivity: both ---------------------------- Number of entries returned 1 ---------------------------- [root@restored-CA-replica ~]# ipa topologysegment-del Suffix name: ca Segment name: ca_segment ----------------------------- Deleted segment "ca_segment" -----------------------------
- 从恢复的服务器安装足够数量的 IdM 副本来处理部署负载。现在,有两个断开连接的 IdM 部署并行运行。
- 通过对新 IdM 副本进行硬编码引用,将 IdM 客户端切换为使用新部署。请参阅在恢复过程中调整 IdM 客户端。
- 停止并卸载之前部署中的 IdM 服务器。请参阅卸载 IdM 服务器。
验证
以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个新副本中测试 Kerberos 服务器。
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索用户信息,测试每个新副本上的 Directory 服务器和 SSSD 配置。
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True使用
ipa cert-show命令测试每个新 CA 副本上的 CA 服务器。[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False
