Chapitre 9. Désinstallation d'un serveur IdM

Cette procédure décrit comment désinstaller un serveur de gestion des identités (IdM) nommé server123.idm.example.com (server123).

Conditions préalables

  • Vous avez un accès root au serveur123.
  • Vous disposez des informations d'identification d'un administrateur IdM.

Procédure

  1. Si votre environnement IdM utilise des DNS intégrés, assurez-vous que le serveur 123 n'est pas le seul serveur DNS enabled: 

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
----------------------
2 server roles matched
----------------------
  Server name: server456.idm.example.com
  Role name: DNS server
  Role status: enabled
[...]
----------------------------
Number of entries returned 2
----------------------------

    Si server123 est le seul serveur DNS restant dans la topologie, ajoutez le rôle de serveur DNS à un autre serveur IdM. Pour plus d'informations, voir la page de manuel ipa-dns-install(1).

  2. Si votre environnement IdM utilise une autorité de certification (CA) intégrée :

    1. Assurez-vous que le serveur 123 n'est pas le seul serveur CA enabled: 

      [root@server123 ~]# ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server123.idm.example.com
  Role name: CA server
  Role status: enabled

  Server name: r8server.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

      Si server123 est le seul serveur CA restant dans la topologie, ajoutez le rôle de serveur CA à un autre serveur IdM. Pour plus d'informations, voir la page de manuel ipa-ca-install(1).

    2. Si vous avez activé les chambres fortes dans votre environnement IdM, assurez-vous que server123.idm.example.com n'est pas le seul serveur enabled Key Recovery Authority (KRA) : 

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
----------------------
2 server roles matched
----------------------
  Server name: server123.idm.example.com
  Role name: KRA server
  Role status: enabled

  Server name: r8server.idm.example.com
  Role name: KRA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

      Si server123 est le seul serveur KRA restant dans la topologie, ajoutez le rôle de serveur KRA à un autre serveur IdM. Pour plus d'informations, voir man ipa-kra-install(1).

    3. Assurez-vous que server123.idm.example.com n'est pas le serveur de renouvellement de l'autorité de certification : 

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
  IPA CA renewal master: r8server.idm.example.com

      Si server123 est le serveur de renouvellement de l'autorité de certification, voir Modification et réinitialisation du serveur de renouvellement de l'autorité de certification IdM pour plus d'informations sur la manière de déplacer le rôle de serveur de renouvellement de l'autorité de certification vers un autre serveur.

    4. Assurez-vous que server123.idm.example.com n'est pas l'éditeur actuel de la liste de révocation des certificats (CRL) : 

      [root@server123 ~]# ipa-crlgen-manage status
CRL generation: disabled

      Si la sortie montre que la génération de CRL est activée sur server123, voir Generating CRL on an IdM CA server pour plus d'informations sur la façon de déplacer le rôle d'éditeur de CRL vers un autre serveur.

  3. Se connecter à un autre serveur IdM dans la topologie : 

    $ ssh idm_user@server456

  4. Sur le serveur, obtenez les informations d'identification de l'administrateur IdM : 

    [idm_user@server456 ~]$ kinit admin

  5. Affichez les plages d'ID DNA attribuées aux serveurs dans la topologie : 

    [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
server123.idm.example.com: 1001-1500
server456.idm.example.com: 1501-2000
[...]

    La sortie montre qu'une plage d'ID ADN est attribuée à la fois au serveur123 et au serveur456.

  6. Si le serveur 123 est le seul serveur IdM de la topologie auquel une plage d'ID ADN a été attribuée, créez un utilisateur IdM de test sur le serveur 456 pour vous assurer qu'une plage d'ID ADN a été attribuée au serveur : 

    [idm_user@server456 ~]$ ipa user-add test_idm_user

  7. Supprimer server123.idm.example.com de la topologie : 

    [idm_user@server456 ~]$ ipa server-del server123.idm.example.com
    Important

    Si la suppression de server123 entraîne une topologie déconnectée, le script vous en avertit. Pour plus d'informations sur la création d'un accord de réplication entre les répliques restantes afin que la suppression puisse avoir lieu, voir Configuration de la réplication entre deux serveurs à l'aide de l'interface de programmation.

    Note

    L'exécution de la commande ipa server-del supprime toutes les données de réplication et tous les accords liés au serveur123 pour les suffixes domain et ca. Contrairement aux topologies IdM de niveau 0 du domaine, où vous devez d'abord supprimer ces données à l'aide de la commande ipa-replica-manage del server123 pour supprimer ces données. Les topologies IdM de niveau 0 sont celles qui fonctionnent sous RHEL 7.2 et les versions antérieures. Utilisez la commande ipa domainlevel-get pour afficher le niveau de domaine actuel.

  8. Retournez sur server123.idm.example.com et désinstallez l'installation IdM existante : 

    [root@server123 ~]# ipa-server-install --uninstall
...
Are you sure you want to continue with the uninstall procedure? [no]: yes
  9. Assurez-vous que tous les enregistrements DNS du serveur de noms (NS) pointant vers server123.idm.example.com sont supprimés de vos zones DNS. Cela s'applique indépendamment du fait que vous utilisiez un DNS intégré géré par IdM ou un DNS externe. Pour plus d'informations sur la manière de supprimer des enregistrements DNS de l'IdM, voir Suppression d'enregistrements DNS dans la CLI de l'IdM.

Ressources supplémentaires