Red Hat Training

A Red Hat training course is available for RHEL 8

第10章 IdM サーバーのアンインストール

この手順では、server123.idm.example.com という名前のIdentity Management (IdM)サーバーをアンインストールする方法を説明します。

前提条件

  • サーバーへの root アクセス権限がある。
  • サーバーで、IdM 管理者の認証情報を取得している。

手順

  1. IdM 環境で統合 DNS が使用されている場合は、server123.idm.example.com が唯一の 有効な DNS サーバーではないことを確認してください。

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server456.idm.example.com
      Role name: DNS server
      Role status: enabled
    [...]
    ----------------------------
    Number of entries returned 2
    ----------------------------

    トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、ipa-dns-install(1) man ページを参照してください。

  2. IdM 環境で統合認証局(CA)が使用されている場合は、以下を行います。

    1. server123.idm.example.com が唯一の 有効な CA サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、ipa-ca-install(1) man ページを参照してください。

    2. IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の 有効な Key Recovery Authority (KRA)サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、man ipa-kra-install(1) を参照してください。

    3. server123.idm.example.com が CA 更新サーバーではないことを確認します。

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、Changing and resetting IdM CA renewal serverを参照してください。

    4. server123.idm.example.com が現在の証明書失効リスト(CRL)パブリッシャーではないことを確認します。

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、Generating CRL on an IdM CA serverを参照してください。

  3. トポロジー内の別の IdM サーバーに接続します。

    $ ssh idm_user@another_server
  4. サーバーで、IdM 管理者の認証情報を取得します。

    [idm_user@another_server ~]$ kinit admin
  5. サーバーで、トポロジーから server123.idm.example.com を削除します。

    [root@another_server ~]$ ipa server-del server123.idm.example.com
  6. server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。

    [root@server123 ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: yes
  7. server123.idm.example.com を参照するすべてのネームサーバー (NS) の DNS レコードが DNS ゾーンから削除されていることを確認します。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、 Deleting DNS records in the IdM CLIを参照してください。