第 9 章 卸载 IdM 服务器
按照以下流程卸载名为 server123.idm.example.com (server123)的身份管理(IdM)服务器。在此流程中,您要首先确保其他服务器正在运行关键服务,并且拓扑在执行卸载前将继续保持冗余。
先决条件
-
您有访问 server123 的
root
权限。 - 您有 IdM 管理员的凭证。
步骤
如果您的 IdM 环境使用集成的 DNS,请确保 server123 不是唯一
启用的
DNS 服务器:[root@server123 ~]# ipa server-role-find --role 'DNS server' ---------------------- 2 server roles matched ---------------------- Server name: server456.idm.example.com Role name: DNS server Role status: enabled [...] ---------------------------- Number of entries returned 2 ----------------------------
如果 server123 是拓扑中唯一剩余的 DNS 服务器,请将 DNS 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅您系统上的
ipa-dns-install (1)
手册页。如果您的 IdM 环境使用集成证书颁发机构(CA):
确保 server123 不是唯一
启用的
CA 服务器:[root@server123 ~]# ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: CA server Role status: enabled Server name: r8server.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
如果 server123 是拓扑中唯一剩余的 CA 服务器,请将 CA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅您系统上的
ipa-ca-install (1)
手册页。如果您在 IdM 环境中已经启用了 vault,请确保 server123.idm.example.com 不是唯一
启用的
密钥恢复机构(KRA)服务器:[root@server123 ~]# ipa server-role-find --role 'KRA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: KRA server Role status: enabled Server name: r8server.idm.example.com Role name: KRA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
如果 server123 是拓扑中唯一剩余的 KRA 服务器,请将 KRA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅
man ipa-kra-install(1)
。确保 server123.idm.example.com 不是 CA 续订服务器:
[root@server123 ~]# ipa config-show | grep 'CA renewal' IPA CA renewal master: r8server.idm.example.com
如果 server123 是 CA 续订服务器,请参阅 更改和重置 IdM CA 续订服务器,以了解有关如何将 CA 续订服务器角色转移到另一台服务器的更多信息。
确保 server123.idm.example.com 不是当前证书撤销列表(CRL)发布者:
[root@server123 ~]# ipa-crlgen-manage status CRL generation: disabled
如果输出显示 server123 上启用了 CRL 生成,请参阅 在 IdM CA 服务器上生成 CRL ,以了解有关如何将 CRL 发布者角色转移到另一台服务器的更多信息。
连接到拓扑中的另一台 IdM 服务器:
$ ssh idm_user@server456
在服务器上,获取 IdM 管理员的凭证:
[idm_user@server456 ~]$ kinit admin
查看拓扑中分配给服务器的 DNA ID 范围:
[idm_user@server456 ~]$ ipa-replica-manage dnarange-show server123.idm.example.com: 1001-1500 server456.idm.example.com: 1501-2000 [...]
输出显示 DNA ID 范围被分配给 server123 和 server456。
如果 server123 是拓扑中唯一分配了 DNA ID 范围的 IdM 服务器,请在 server456 上创建测试 IdM 用户,以确保服务器已分配了 DNA ID 范围:
[idm_user@server456 ~]$ ipa user-add test_idm_user
从拓扑中删除 server123.idm.example.com :
[idm_user@server456 ~]$ ipa server-del server123.idm.example.com
重要如果删除 server123 会导致断开连接的拓扑,则脚本会发出警告。有关如何在剩余的副本之间创建复制协议,以便删除可以继续的信息,请参阅 使用 CLI 在两个服务器之间设置复制。
注意运行
ipa server-del
命令删除domain
和ca
后缀的与 server123 相关的所有复制数据和协议。这与 Domain Level 0 IdM 拓扑相反,其中您最初必须使用ipa-replica-manage del server123
命令删除这些数据。域级别 0 IdM 拓扑是在 RHEL 7.2 及更早版本上运行的拓扑。使用ipa domainlevel-get
命令查看当前的域级别。返回到 server123.idm.example.com ,并卸载现有的 IdM 安装:
[root@server123 ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: true
- 确保指向 server123.idm.example.com 的所有名称服务器(NS) DNS 记录都已从 DNS 区中删除。无论您使用由 IdM 还是外部 DNS 管理的集成 DNS,这个均适用。有关如何从 IdM 中删除 DNS 记录的更多信息,请参阅 删除 IdM CLI 中的 DNS 记录。
其他资源
- RHEL 7 文档中的 显示和提升域级别
- 规划副本拓扑
- IdM CA 续订服务器的解释在 IdM CA 服务器上生成 CRL