Red Hat Training

A Red Hat training course is available for RHEL 8

第10章 IdM サーバーのアンインストール

この手順では、server123.idm.example.com (server123) という名前の Identity Management (IdM) サーバーをアンインストールする方法を説明します。

前提条件

  • server123 への root アクセス権限がある。
  • IdM 管理者の認証情報がある。

手順

  1. IdM 環境で統合 DNS が使用されている場合は、server123 が唯一の 有効な DNS サーバーではないことを確認してください。

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server456.idm.example.com
      Role name: DNS server
      Role status: enabled
    [...]
    ----------------------------
    Number of entries returned 2
    ----------------------------

    トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、ipa-dns-install(1) man ページを参照してください。

  2. IdM 環境で統合認証局 (CA) が使用されている場合は、以下を行います。

    1. server123 が唯一の 有効 な CA サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、ipa-ca-install(1) man ページを参照してください。

    2. IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の 有効な Key Recovery Authority (KRA) サーバーではないことを確認します。

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、man ipa-kra-install(1) を参照してください。

    3. server123.idm.example.com が CA 更新サーバーではないことを確認します。

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、Changing and resetting IdM CA renewal server を参照してください。

    4. server123.idm.example.com が現在の証明書失効リスト (CRL) パブリッシャーではないことを確認します。

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、Generating CRL on an IdM CA server を参照してください。

  3. トポロジー内の別の IdM サーバーに接続します。

    $ ssh idm_user@server456
  4. サーバーで、IdM 管理者の認証情報を取得します。

    [idm_user@server456 ~]$ kinit admin
  5. トポロジー内のサーバーに割り当てられた DNA ID 範囲を表示します。

    [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
    server123.idm.example.com: 1001-1500
    server456.idm.example.com: 1501-2000
    [...]

    出力は、DNA ID 範囲が server123 と server456 の両方に割り当てられていることを示しています。

  6. server123 がトポロジー内で DNA ID 範囲が割り当てられた唯一の IdM サーバーである場合、server456 でテスト IdM ユーザーを作成して、サーバーに DNA ID 範囲が割り当てられていることを確認します。

    [idm_user@server456 ~]$ ipa user-add test_idm_user
  7. トポロジーから server123.idm.example.com を削除します。

    [idm_user@server456 ~]$ ipa server-del server123.idm.example.com
    重要

    server123 を削除してトポロジーが切断されると、スクリプトが警告を発します。削除を続行できるようにするために、残りのレプリカ間でレプリカ合意を作成する方法は、CLI を使用した 2 台のサーバー間のレプリケーションの設定 を参照してください。

    注記

    ipa server-del コマンドを実行すると、ドメインca 接尾辞の両方について、server123 に関連するすべてのレプリケーションデータと合意が削除されます。これは、最初に ipa-replica-manage del server123 コマンドを使用してこれらのデータを削除する必要があったドメインレベル 0 IdM トポロジーとは対照的です。ドメインレベル 0 の IdM トポロジーは、RHEL 7.2 以前で実行されているトポロジーです。ipa domainlevel-get コマンドを使用して、現在のドメインレベルを表示します。

  8. server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。

    [root@server123 ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: yes
  9. server123.idm.example.com を指定しているネームサーバー (NS) の DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、 Deleting DNS records in the IdM CLI を参照してください。