18.3. 卸载 IdM 客户端:在以前的安装后执行额外的步骤

如果您多次将主机作为身份管理(IdM)客户端来安装和卸载,那么卸载过程可能无法恢复 IdM 之前的 Kerberos 配置。

在这种情况下,您必须手动删除 IdM Kerberos 配置。在某些情况下,您必须重新安装操作系统。

先决条件

  • 您已使用 ipa-client-install --uninstall 命令来从主机中卸载 IdM 客户端配置。但是,您仍然可以从 IdM 服务器获得 IdM 用户的 Kerberos 单据授予单(TGT)。
  • 您已检查了 /var/lib/ipa-client/sysrestore 目录是否为空,因此您不能使用目录中的文件来恢复系统的 IdM 客户端之前的配置。

步骤

  1. 检查 /etc/krb5.conf.ipa 文件:

    • 如果 /etc/krb5.conf.conf.ipa 文件的内容与安装 IdM 客户端之前的 krb5.conf 文件的内容相同,您可以:

      1. 删除 /etc/krb5.conf 文件: 

        # rm /etc/krb5.conf

      2. /etc/krb5.conf.ipa 文件重命名为 /etc/krb5.conf

        # mv /etc/krb5.conf.ipa /etc/krb5.conf
    • 如果 /etc/krb5.conf.ipa 文件的内容与安装 IdM 客户端之前的 krb5.conf 文件的内容不同,那么您可以至少将 Kerberos 配置直接恢复到安装操作系统之后的状态:

    1. 重新安装 krb5-libs 软件包: 

      # dnf reinstall krb5-libs

      作为依赖项,此命令还将重新安装 krb5-workstation 软件包和 /etc/krb5.conf 文件的原始版本。

  2. 删除 var/log/ipaclient-install.log 文件(如果存在的话)。

验证步骤

  • 尝试获取 IdM 用户凭证。这应该失败: 

    [root@r8server ~]# kinit admin
kinit: Client 'admin@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
[root@r8server ~]#

/etc/krb5.conf 文件现在恢复到其出厂状态。因此,您无法为主机上的 IdM 用户获取 Kerberos TGT。