第 9 章 卸载 IdM 服务器

按照以下流程卸载名为 server123.idm.example.com (server123)的身份管理(IdM)服务器。

先决条件

  • 您有访问 server123 的 root 权限。
  • 您有 IdM 管理员的凭证。

步骤

  1. 如果您的 IdM 环境使用集成的 DNS,请确保 server123 不是唯一 启用的 DNS 服务器:

    [root@server123 ~]# ipa server-role-find --role 'DNS server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server456.idm.example.com
      Role name: DNS server
      Role status: enabled
    [...]
    ----------------------------
    Number of entries returned 2
    ----------------------------

    如果 server123 是拓扑中唯一剩余的 DNS 服务器,请将 DNS 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 ipa-dns-install(1) 手册页。

  2. 如果您的 IdM 环境使用集成证书颁发机构(CA):

    1. 确保 server123 不是唯一 启用的 CA 服务器:

      [root@server123 ~]# ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: CA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 CA 服务器,请将 CA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 ipa-ca-install(1) 手册页。

    2. 如果您在 IdM 环境中已经启用了 vault,请确保 server123.idm.example.com 不是唯一 启用的 密钥恢复机构(KRA)服务器:

      [root@server123 ~]# ipa server-role-find --role 'KRA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server123.idm.example.com
        Role name: KRA server
        Role status: enabled
      
        Server name: r8server.idm.example.com
        Role name: KRA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------

      如果 server123 是拓扑中唯一剩余的 KRA 服务器,请将 KRA 服务器角色添加到另一台 IdM 服务器。如需更多信息,请参阅 man ipa-kra-install(1)

    3. 确保 server123.idm.example.com 不是 CA 续订服务器:

      [root@server123 ~]# ipa config-show | grep 'CA renewal'
        IPA CA renewal master: r8server.idm.example.com

      如果 server123 是 CA 续订服务器,请参阅 更改和重置 IdM CA 续订服务器,以了解有关如何将 CA 续订服务器角色转移到另一台服务器的更多信息。

    4. 确保 server123.idm.example.com 不是当前证书撤销列表(CRL)发布者:

      [root@server123 ~]# ipa-crlgen-manage status
      CRL generation: disabled

      如果输出显示 server123 上启用了 CRL 生成,请参阅 在 IdM CA 服务器上生成 CRL ,以了解有关如何将 CRL 发布者角色转移到另一台服务器的更多信息。

  3. 连接到拓扑中的另一台 IdM 服务器:

    $ ssh idm_user@server456
  4. 在服务器上,获取 IdM 管理员的凭证:

    [idm_user@server456 ~]$ kinit admin
  5. 查看拓扑中分配给服务器的 DNA ID 范围:

    [idm_user@server456 ~]$ ipa-replica-manage dnarange-show
    server123.idm.example.com: 1001-1500
    server456.idm.example.com: 1501-2000
    [...]

    输出显示 DNA ID 范围被分配给 server123 和 server456。

  6. 如果 server123 是拓扑中唯一分配了 DNA ID 范围的 IdM 服务器,请在 server456 上创建测试 IdM 用户,以确保服务器已分配了 DNA ID 范围:

    [idm_user@server456 ~]$ ipa user-add test_idm_user
  7. 从拓扑中删除 server123.idm.example.com :

    [idm_user@server456 ~]$ ipa server-del server123.idm.example.com
    重要

    如果删除 server123 会导致断开连接的拓扑,则脚本会发出警告。有关如何在剩余的副本之间创建复制协议,以便删除可以继续的信息,请参阅 使用 CLI 在两个服务器之间设置复制

    注意

    运行 ipa server-del 命令删除 domainca 后缀的与 server123 相关的所有复制数据和协议。这与 Domain Level 0 IdM 拓扑相反,其中您最初必须使用 ipa-replica-manage del server123 命令删除这些数据。域级别 0 IdM 拓扑是在 RHEL 7.2 及更早版本上运行的拓扑。使用 ipa domainlevel-get 命令查看当前的域级别。

  8. 返回到 server123.idm.example.com ,并卸载现有的 IdM 安装:

    [root@server123 ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: yes
  9. 确保指向 server123.idm.example.com 的所有名称服务器(NS) DNS 记录都已从 DNS 区中删除。无论您使用由 IdM 还是外部 DNS 管理的集成 DNS,这个均适用。有关如何从 IdM 中删除 DNS 记录的更多信息,请参阅 删除 IdM CLI 中的 DNS 记录