第 2 章 使用复制恢复单个服务器
如果单个服务器有严重问题或已丢失,则具有多个副本可确保您创建替换副本,并快速恢复之前冗余级别。
如果您的 IdM 拓扑包含集成的证书颁发机构 (CA),删除和替换已损坏的副本的步骤因 CA 续订服务器和其它副本而异。
2.1. 恢复丢失 CA 续订服务器
如果证书颁发机构 (CA) 续订服务器丢失,您必须首先推广另一个 CA 副本以满足 CA 续订服务器角色,然后部署替代的 CA 副本。
先决条件
- 您的部署使用 IdM 的内部证书颁发机构 (CA)。
- 环境中的另一个 Replica 已安装了 CA 服务。
警告
如果出现以下情况,IdM 部署是不可恢复的:
- CA 续订服务器已经丢失。
- 没有安装 CA。
没有带有 CA 角色的副本备份。
使用 CA 角色从副本制作备份非常重要,从而使证书数据受到保护。有关创建备份和从备份恢复的更多信息,请参阅 使用 IdM 备份为数据丢失做准备。
流程
- 从环境中的另一个副本中,升级环境中的另一个 CA 副本,以作为新的 CA 续订服务器。请参阅更改和重置 IdM CA 续订服务器。
- 从环境中的另一个副本中,将复制协议删除丢失的 CA 续订服务器。请参阅使用 CLI 从拓扑中删除服务器。
- 安装一个新的 CA Replica 来替换丢失的 CA 副本。请参阅使用 CA 安装 IdM 副本。
- 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
- 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端。
验证
以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索用户信息,测试 Directory 服务器和 SSSD 配置。
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True
使用
ipa cert-show
命令测试 CA 配置。[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False
其他资源