17.2. Désinstallation d'un client IdM : étapes supplémentaires après plusieurs installations antérieures

Si vous installez et désinstallez plusieurs fois un hôte en tant que client Identity Management (IdM), la procédure de désinstallation risque de ne pas restaurer la configuration Kerberos antérieure à l'IdM.

Dans ce cas, vous devez supprimer manuellement la configuration IdM Kerberos. Dans les cas extrêmes, vous devez réinstaller le système d'exploitation.

Conditions préalables

  • Vous avez utilisé la commande ipa-client-install --uninstall pour désinstaller la configuration du client IdM de l'hôte. Cependant, vous pouvez toujours obtenir un ticket Kerberos (TGT) pour un utilisateur IdM à partir du serveur IdM.
  • Vous avez vérifié que le répertoire /var/lib/ipa-client/sysrestore est vide et que, par conséquent, vous ne pouvez pas restaurer la configuration du système antérieure au client IdM à l'aide des fichiers contenus dans ce répertoire.

Procédure

  1. Vérifiez le fichier /etc/krb5.conf.ipa:

    • Si le contenu du fichier /etc/krb5.conf.ipa est identique au contenu du fichier krb5.conf avant l'installation du client IdM, vous pouvez :

      1. Supprimez le fichier /etc/krb5.conf: 

        # rm /etc/krb5.conf

      2. Renommez le fichier /etc/krb5.conf.ipa en /etc/krb5.conf: 

        # mv /etc/krb5.conf.ipa /etc/krb5.conf
    • Si le contenu du fichier /etc/krb5.conf.ipa n'est pas le même que celui du fichier krb5.conf avant l'installation du client IdM, vous pouvez au moins restaurer la configuration Kerberos dans l'état où elle se trouvait juste après l'installation du système d'exploitation :

    1. Réinstallez le paquet krb5-libs: 

      # dnf reinstall krb5-libs

      En tant que dépendance, cette commande réinstallera également le paquet krb5-workstation et la version originale du fichier /etc/krb5.conf.

  2. Supprime le fichier var/log/ipaclient-install.log s'il est présent.

Verification steps

  • Essayez d'obtenir les informations d'identification de l'utilisateur IdM. Cette tentative devrait échouer : 

    [root@r8server ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@r8server ~]#

Le fichier /etc/krb5.conf est maintenant restauré dans son état d'origine. Par conséquent, vous ne pouvez pas obtenir de TGT Kerberos pour un utilisateur IdM sur l'hôte.