第 9 章 卸载 IdM 服务器


按照以下流程卸载名为 server123.idm.example.com (server123)的身份管理(IdM)服务器。在此流程中,您要首先确保其他服务器正在运行关键服务,并且拓扑在执行卸载前将继续保持冗余。

先决条件

  • 您有访问 server123 的 root 权限。
  • 您有 IdM 管理员的凭证。

步骤

  1. 如果您的 IdM 环境使用集成的 DNS,请确保 server123 不是唯一 启用的 DNS 服务器:

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server456.idm.example.com
      Role name: DNS server
      Role status: enabled
    [...]
    ----------------------------
    Number of entries returned 2
    ----------------------------

    如果 server123 是拓扑中唯一剩余的 DNS 服务器,请将 DNS 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅您系统上的 ipa-dns-install (1) 手册页。

  2. 如果您的 IdM 环境使用集成证书颁发机构(CA):

    1. 确保 server123 不是唯一 启用的 CA 服务器:

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 CA 服务器,请将 CA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅您系统上的 ipa-ca-install (1) 手册页。

    2. 如果您在 IdM 环境中已经启用了 vault,请确保 server123.idm.example.com 不是唯一 启用的 密钥恢复机构(KRA)服务器:

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 KRA 服务器,请将 KRA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 man ipa-kra-install(1)

    3. 确保 server123.idm.example.com 不是 CA 续订服务器:

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      如果 server123 是 CA 续订服务器,请参阅 更改和重置 IdM CA 续订服务器,以了解有关如何将 CA 续订服务器角色转移到另一台服务器的更多信息。

    4. 确保 server123.idm.example.com 不是当前证书撤销列表(CRL)发布者:

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      如果输出显示 server123 上启用了 CRL 生成,请参阅 在 IdM CA 服务器上生成 CRL ,以了解有关如何将 CRL 发布者角色转移到另一台服务器的更多信息。

  3. 连接到拓扑中的另一台 IdM 服务器:

    $ ssh idm_user@server456
  4. 在服务器上,获取 IdM 管理员的凭证:

    [idm_user@server456 ~]$ kinit admin
  5. 查看拓扑中分配给服务器的 DNA ID 范围:

    [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
    server123.idm.example.com: 1001-1500
    server456.idm.example.com: 1501-2000
    [...]

    输出显示 DNA ID 范围被分配给 server123 和 server456。

  6. 如果 server123 是拓扑中唯一分配了 DNA ID 范围的 IdM 服务器,请在 server456 上创建测试 IdM 用户,以确保服务器已分配了 DNA ID 范围:

    [idm_user@server456 ~]$ ipa user-add test_idm_user
  7. 从拓扑中删除 server123.idm.example.com :

    [idm_user@server456 ~]$ ipa server-del server123.idm.example.com
    重要

    如果删除 server123 会导致断开连接的拓扑,则脚本会发出警告。有关如何在剩余的副本之间创建复制协议,以便删除可以继续的信息,请参阅 使用 CLI 在两个服务器之间设置复制

    注意

    运行 ipa server-del 命令删除 domainca 后缀的与 server123 相关的所有复制数据和协议。这与 Domain Level 0 IdM 拓扑相反,其中您最初必须使用 ipa-replica-manage del server123 命令删除这些数据。域级别 0 IdM 拓扑是在 RHEL 7.2 及更早版本上运行的拓扑。使用 ipa domainlevel-get 命令查看当前的域级别。

  8. 返回到 server123.idm.example.com ,并卸载现有的 IdM 安装:

    [root@server123 ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: true
  9. 确保指向 server123.idm.example.com 的所有名称服务器(NS) DNS 记录都已从 DNS 区中删除。无论您使用由 IdM 还是外部 DNS 管理的集成 DNS,这个均适用。有关如何从 IdM 中删除 DNS 记录的更多信息,请参阅 删除 IdM CLI 中的 DNS 记录
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.