Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

第 10 章 卸载 IdM 服务器

这个流程描述了如何卸载名为 server123.idm.example.com 的身份管理(IdM)服务器。

先决条件

  • 有对服务器的 root 访问权限。
  • 在服务器上,您已获得 IdM 管理员的凭据。

流程

  1. 如果您的 IdM 环境使用集成的 DNS,请确保 server123.idm.example.com 不是唯一 启用的DNS 服务器:

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server456.idm.example.com
      Role name: DNS server
      Role status: enabled
    [...]
    ----------------------------
    Number of entries returned 2
    ----------------------------

    如果 server123 是拓扑中唯一剩余的 DNS 服务器,请将 DNS 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 ipa-dns-install(1) 手册页。

  2. 如果您的 IdM 环境使用集成证书颁发机构(CA):

    1. 确保 server123.idm.example.com 不是唯一 启用的 CA 服务器:

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 CA 服务器,请将 CA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 ipa-ca-install(1) 手册页。

    2. 如果您在 IdM 环境中已经启用了 vault,请确保 server123.idm.example.com 不是唯一 启用的 密钥恢复机构(KRA)服务器:

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 KRA 服务器,请将 KRA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 man ipa-kra-install(1)

    3. 确保 server123.idm.example.com 不是 CA 续订服务器:

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      如果 server123 是 CA 续订服务器,请参阅 更改和重置 IdM CA 续订服务器 来了解有关如何将 CA 续订服务器角色移到另一台服务器的更多信息。

    4. 确保 server123.idm.example.com 不是当前证书撤销列表(CRL)发布者:

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      如果输出显示 server123 上启用了 CRL 生成,请参阅在 IdM CA 服务器上生成 CRL 来了解有关如何将 CRL 发布者角色移到另一台服务器的更多信息。

  3. 连接到拓扑中的另一台 IdM 服务器:

    $ ssh idm_user@another_server
  4. 在服务器上,获取 IdM 管理员的凭证:

    [idm_user@another_server ~]$ kinit admin
  5. 在服务器上,从拓扑中删除 server123.idm.example.com:

    [root@another_server ~]$ ipa server-del server123.idm.example.com
  6. 返回到 server123.idm.example.com ,并卸载现有的 IdM 安装:

    [root@server123 ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: yes
  7. 确保从 DNS 区域中删除指向 server123.idm.example.com 的所有名字服务器(NS)DNS 记录。无论您使用由 IdM 还是外部 DNS 管理的集成 DNS,这个均适用。有关如何从 IdM 删除 DNS 记录的更多信息,请参阅 删除 IdM CLI 中的 DNS 记录