Red Hat Training
A Red Hat training course is available for RHEL 8
7.8. Restaurando um servidor IdM a partir de um backup
O procedimento seguinte descreve a restauração de um servidor IdM, ou seus dados LDAP, a partir de um backup IdM.
Figura 7.1. Topologia de Replicação utilizada neste exemplo
Tabela 7.1. Convenções de nomenclatura de servidores usadas neste exemplo
| Nome do host do servidor | Função |
|---|---|
|
| O servidor que precisa ser restaurado a partir do backup. |
|
|
Uma réplica da Autoridade Certificadora (CA) conectada ao host |
|
|
Uma réplica conectada ao host |
Pré-requisitos
-
Você gerou um backup completo do servidor IdM ou apenas de dados com o utilitário
ipa-backup. Veja Criando uma cópia de segurança. -
Seus arquivos de backup não estão nos diretórios
/tmpou/var/tmp. - Antes de executar uma restauração do servidor completo a partir de um backup do servidor completo, desinstale o IdM do servidor e reinstale o IdM usando a mesma configuração do servidor anterior.
Procedimento
Use o utilitário
ipa-restorepara restaurar um servidor completo ou uma cópia de segurança somente de dados.Se o diretório de backup estiver no local padrão
/var/lib/ipa/backup/, digite apenas o nome do diretório:[root@server1 ~]# ipa-restore ipa-full-2020-01-14-12-02-32Se o diretório de backup não estiver no local padrão, digite seu caminho completo:
[root@server1 ~]# ipa-restore /mybackups/ipa-data-2020-02-01-05-30-00NotaO utilitário
ipa-restoredetecta automaticamente o tipo de backup que o diretório contém, e executa o mesmo tipo de restauração por padrão. Para executar uma restauração somente de dados a partir de um backup de servidor completo, adicione a opção--dataaipa-restore:[root@server1 ~]# ipa-restore --data ipa-full-2020-01-14-12-02-32
Digite a senha do Gerenciador de Diretório.
Senha do gerenciador de diretórios (master existente):
Digite
yespara confirmar a sobreposição dos dados atuais com o backup.Preparing restore from /var/lib/ipa/backup/ipa-full-2020-01-14-12-02-32 on server1.example.com Performing FULL restore from FULL backup Temporary setting umask to 022 Restoring data will overwrite existing live data. Continue to restore? [no]: yesO utilitário
ipa-restoredesabilita a replicação em todos os servidores que estão disponíveis:Each master will individually need to be re-initialized or re-created from this one. The replication agreements on masters running IPA 3.1 or earlier will need to be manually re-enabled. See the man page for details. Disabling all replication. Disabling replication agreement on server1.example.com to caReplica2.example.com Disabling CA replication agreement on server1.example.com to caReplica2.example.com Disabling replication agreement on caReplica2.example.com to server1.example.com Disabling replication agreement on caReplica2.example.com to replica3.example.com Disabling CA replication agreement on caReplica2.example.com to server1.example.com Disabling replication agreement on replica3.example.com to caReplica2.example.com
O utilitário então pára os serviços da IdM, restaura o backup, e reinicia os serviços:
Stopping IPA services Systemwide CA database updated. Restoring files Systemwide CA database updated. Restoring from userRoot in EXAMPLE-COM Restoring from ipaca in EXAMPLE-COM Restarting GSS-proxy Starting IPA services Restarting SSSD Restarting oddjobd Restoring umask to 18 The ipa-restore command was successfulReinicializar todas as réplicas conectadas ao servidor restaurado:
Liste todos os segmentos de topologia de replicação para o sufixo
domain, tomando nota dos segmentos de topologia que envolvem o servidor restaurado.[root@server1 ~]# ipa topologysegment-find domain ------------------ 2 segments matched ------------------ Segment name: server1.example.com-to-caReplica2.example.com Left node: server1.example.com Right node: caReplica2.example.com Connectivity: both Segment name: caReplica2.example.com-to-replica3.example.com Left node: caReplica2.example.com Right node: replica3.example.com Connectivity: both ---------------------------- Number of entries returned 2 ----------------------------
Re-inicializar o sufixo
domainpara todos os segmentos de topologia com o servidor restaurado.Neste exemplo, faça uma reinicialização de
caReplica2com dados deserver1.[root@caReplica2 ~]# ipa-replica-manage re-initialize --from=server1.example.com Update in progress, 2 seconds elapsed Update succeededPassando aos dados da Autoridade Certificadora, liste todos os segmentos de topologia de replicação para o sufixo
ca.[root@server1 ~]# ipa topologysegment-find ca ----------------- 1 segment matched ----------------- Segment name: server1.example.com-to-caReplica2.example.com Left node: server1.example.com Right node: caReplica2.example.com Connectivity: both ---------------------------- Number of entries returned 1 ----------------------------
Re-inicializar todas as réplicas CA conectadas ao servidor restaurado.
Neste exemplo, realize uma reinicialização do site
csreplicacaReplica2com dados deserver1.[root@caReplica2 ~]# ipa-csreplica-manage re-initialize --from=server1.example.com Directory Manager password: Update in progress, 3 seconds elapsed Update succeeded
Continue movendo-se para fora através da topologia de replicação, reinicializando sucessivas réplicas, até que todos os servidores tenham sido atualizados com os dados do servidor restaurado
server1.example.com.Neste exemplo, basta reinicializar o sufixo
domainemreplica3com os dados decaReplica2:[root@replica3 ~]# ipa-replica-manage re-initialize --from=caReplica2.example.com Directory Manager password: Update in progress, 3 seconds elapsed Update succeededLimpar o cache do SSSD em cada servidor a fim de evitar problemas de autenticação devido a dados inválidos:
Parar o serviço SSSD:
[root@server ~]# systemctl stop sssdRemover todo o conteúdo armazenado em cache do SSSD:
[root@server ~]# sss_cache -EIniciar o serviço SSSD:
[root@server ~]# systemctl start sssd- Reinicialize o servidor.
Recursos adicionais
- A página de manual ipa-restore(1) também cobre em detalhes como lidar com cenários complexos de replicação durante a restauração.
