第9章 IdM サーバーのアンインストール
以下の手順に従って、server123.idm.example.com (server123) という名前の Identity Management (IdM) サーバーをアンインストールします。この手順では、まず、他のサーバーが重要なサービスを実行していること、およびアンインストールを実行する前にトポロジーが冗長であることを確認します。
前提条件
-
server123 への
rootアクセス権限がある。 - IdM 管理者の認証情報がある。
手順
IdM 環境で統合 DNS が使用されている場合は、server123 が唯一の
有効なDNS サーバーではないことを確認してください。[root@server123 ~]# ipa server-role-find --role 'DNS server' ---------------------- 2 server roles matched ---------------------- Server name: server456.idm.example.com Role name: DNS server Role status: enabled [...] ---------------------------- Number of entries returned 2 ----------------------------
トポロジー内の残りの DNS サーバーが server123 だけの場合は、DNS サーバーロールを別の IdM サーバーに追加します。詳細は、
ipa-dns-install(1)man ページを参照してください。IdM 環境で統合認証局 (CA) が使用されている場合は、以下を行います。
server123 が唯一の
有効な CA サーバーではないことを確認します。[root@server123 ~]# ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: CA server Role status: enabled Server name: r8server.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
トポロジー内の残りの CA サーバーが server123 だけの場合は、CA サーバーロールを別の IdM サーバーに追加します。詳細は、
ipa-ca-install(1)man ページを参照してください。IdM 環境で vault を有効にしている場合は、server123.idm.example.com が唯一の
有効なKey Recovery Authority (KRA) サーバーではないことを確認します。[root@server123 ~]# ipa server-role-find --role 'KRA server' ---------------------- 2 server roles matched ---------------------- Server name: server123.idm.example.com Role name: KRA server Role status: enabled Server name: r8server.idm.example.com Role name: KRA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
トポロジー内の残りの KRA サーバーが server123 だけの場合は、KRA サーバーロールを別の IdM サーバーに追加します。詳細は、
man ipa-kra-install(1)を参照してください。server123.idm.example.com が CA 更新サーバーではないことを確認します。
[root@server123 ~]# ipa config-show | grep 'CA renewal' IPA CA renewal master: r8server.idm.example.com
server123 が CA 更新サーバーである場合は、CA 更新サーバーロールを別のサーバーに移動する方法の詳細について、IdM CA 更新サーバーの変更およびリセット を参照してください。
server123.idm.example.com が現在の証明書失効リスト (CRL) パブリッシャーではないことを確認します。
[root@server123 ~]# ipa-crlgen-manage status CRL generation: disabled
出力に、CRL の生成が server123 で有効になっていることが示されている場合は、CRL パブリッシャーロールを別のサーバーに移動する方法の詳細について、IdM CA サーバーでの CRL の生成 を参照してください。
トポロジー内の別の IdM サーバーに接続します。
$ ssh idm_user@server456サーバーで、IdM 管理者の認証情報を取得します。
[idm_user@server456 ~]$ kinit adminトポロジー内のサーバーに割り当てられた DNA ID 範囲を表示します。
[idm_user@server456 ~]$ ipa-replica-manage dnarange-show server123.idm.example.com: 1001-1500 server456.idm.example.com: 1501-2000 [...]出力は、DNA ID 範囲が server123 と server456 の両方に割り当てられていることを示しています。
server123 がトポロジー内で DNA ID 範囲が割り当てられた唯一の IdM サーバーである場合、server456 でテスト IdM ユーザーを作成して、サーバーに DNA ID 範囲が割り当てられていることを確認します。
[idm_user@server456 ~]$ ipa user-add test_idm_userトポロジーから server123.idm.example.com を削除します。
[idm_user@server456 ~]$ ipa server-del server123.idm.example.com重要server123 を削除してトポロジーが切断されると、スクリプトが警告を発します。削除を続行できるようにするために、残りのレプリカ間でレプリカ合意を作成する方法は、CLI を使用した 2 台のサーバー間のレプリケーションの設定 を参照してください。
注記ipa server-delコマンドを実行すると、ドメインとca接尾辞の両方について、server123 に関連するすべてのレプリケーションデータと合意が削除されます。これは、最初にipa-replica-manage del server123コマンドを使用してこれらのデータを削除する必要があったドメインレベル 0 IdM トポロジーとは対照的です。ドメインレベル 0 の IdM トポロジーは、RHEL 7.2 以前で実行されているトポロジーです。ipa domainlevel-getコマンドを使用して、現在のドメインレベルを表示します。server123.idm.example.com に戻り、既存の IdM インストールをアンインストールします。
[root@server123 ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: yes- server123.idm.example.com を指定しているネームサーバー (NS) の DNS レコードがすべて DNS ゾーンから削除されていることを確認してください。使用する DNS が IdM により管理される統合 DNS であるか、外部 DNS であるかに関わらず、確認を行なってください。IdM から DNS レコードを削除する方法は、Deleting DNS records in the IdM CLI を参照してください。
関連情報
- RHEL 7 ドキュメントで のドメインレベルの表示と引き上げ
- レプリカトポロジーの計画
- IdM CA 更新サーバーの説明、IdM CA サーバーでの CRL の生成
