18.2. 卸载 IdM 客户端:在以前的安装后执行额外的步骤
如果您多次将主机作为身份管理(IdM)客户端来安装和卸载,那么卸载过程可能无法恢复 IdM 之前的 Kerberos 配置。
在这种情况下,您必须手动删除 IdM Kerberos 配置。在某些情况下,您必须重新安装操作系统。
先决条件
-
您已使用
ipa-client-install --uninstall
命令来从主机中卸载 IdM 客户端配置。但是,您仍然可以从 IdM 服务器获得 IdM 用户的 Kerberos 单据授予单(TGT)。 -
您已检查了
/var/lib/ipa-client/sysrestore
目录是否为空,因此您不能使用目录中的文件来恢复系统的 IdM 客户端之前的配置。
流程
检查
/etc/krb5.conf.ipa
文件:如果
/etc/krb5.conf.conf.ipa
文件的内容与安装 IdM 客户端之前的krb5.conf
文件的内容相同,您可以:删除
/etc/krb5.conf
文件:# rm /etc/krb5.conf
将
/etc/krb5.conf.ipa
文件重命名为/etc/krb5.conf
:# mv /etc/krb5.conf.ipa /etc/krb5.conf
-
如果
/etc/krb5.conf.ipa
文件的内容与安装 IdM 客户端之前的krb5.conf
文件的内容不同,那么您可以至少将 Kerberos 配置直接恢复到安装操作系统之后的状态:
重新安装
krb5-libs
软件包:# yum reinstall krb5-libs
作为依赖项,此命令还将重新安装
krb5-workstation
软件包和/etc/krb5.conf
文件的原始版本。
-
删除
var/log/ipaclient-install.log
文件(如果存在的话)。
验证
尝试获取 IdM 用户凭证。这应该失败:
[root@r8server ~]# kinit admin kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials [root@r8server ~]#
/etc/krb5.conf
文件现在恢复到其出厂状态。因此,您无法为主机上的 IdM 用户获取 Kerberos TGT。