4.3. VM 스냅샷에서 복구하여 새 IdM 환경 설정
복원된 VM(가상 머신) 스냅샷의 CA(인증 기관) 복제본이 다른 서버와 함께 복제할 수 없는 경우 VM 스냅샷에서 새 IdM 환경을 생성합니다.
새 IdM 환경을 설정하려면 VM 서버를 분리하고 추가 복제본을 생성한 다음 IdM 클라이언트를 새 환경으로 전환합니다.
사전 요구 사항
- CA 복제본 VM의 VM 스냅샷을 준비했습니다. VM 스냅샷으로 데이터 손실 준비를 참조하십시오.
절차
- CA 복제본 VM의 원하는 스냅샷을 부팅합니다.
모든 복제 토폴로지 세그먼트를 제거하여 현재 배포의 나머지 부분에서 복원된 서버를 분리합니다.
먼저 모든
도메인복제 토폴로지 세그먼트를 표시합니다.[root@restored-CA-replica ~]# ipa topologysegment-find Suffix name: domain ------------------ 8 segments matched ------------------ Segment name: new_segment Left node: restored-CA-replica.example.com Right node: server2.example.com Connectivity: both ... ---------------------------- Number of entries returned 8 ----------------------------
다음으로 복원된 서버를 포함하는 모든
도메인토폴로지 세그먼트를 삭제합니다.[root@restored-CA-replica ~]# ipa topologysegment-del Suffix name: domain Segment name: new_segment ----------------------------- Deleted segment "new_segment" -----------------------------
마지막으로 모든
ca토폴로지 세그먼트를 사용하여 동일한 작업을 수행합니다.[root@restored-CA-replica ~]# ipa topologysegment-find Suffix name: ca ------------------ 1 segments matched ------------------ Segment name: ca_segment Left node: restored-CA-replica.example.com Right node: server4.example.com Connectivity: both ---------------------------- Number of entries returned 1 ---------------------------- [root@restored-CA-replica ~]# ipa topologysegment-del Suffix name: ca Segment name: ca_segment ----------------------------- Deleted segment "ca_segment" -----------------------------
- 복원된 서버에서 충분한 IdM 복제본을 설치하여 배포 로드를 처리합니다. 이제 두 개의 연결이 끊긴 IdM 배포가 병렬로 실행됩니다.
- 새 IdM 복제본에 대한 하드 코딩 참조를 적용하여 IdM 클라이언트를 전환하여 새 배포를 사용합니다. 복구 중에 IdM 클라이언트 조정을 참조하십시오.
- 이전 배포에서 IdM 서버를 중지하고 설치 제거합니다. IdM 서버 제거를 참조하십시오.
검증 단계
Kerberos 티켓 통합 티켓을 IdM 사용자로 성공적으로 검색하여 모든 새 복제본에서 Kerberos 서버를 테스트합니다.
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
사용자 정보를 검색하여 모든 새 복제본에서 Directory Server 및 SSSD 구성을 테스트합니다.
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: Trueipa cert-show명령을 사용하여 모든 새 CA 복제본에서 CA 서버를 테스트합니다.[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False