Product SiteDocumentation Site

Глава 6. Удаление сервера FreeIPA

Процедура удаления сервера FreeIPA ipabackup.example.test:
  1. Если в среде FreeIPA используется интегрированный DNS, необходимо убедиться, что ipabackup.example.test не является единственным DNS-сервером в состоянии enabled: 
    # ipa server-role-find --role 'DNS server'
----------------------------------------
установлено соответствие 2 ролей сервера
----------------------------------------
  Имя сервера: ipa.example.test
  Имя роли: DNS server
  Состояние роли: enabled

  Имя сервера: ipabackup.example.test
  Имя роли: DNS server
  Состояние роли: enabled
---------------------------------
Количество возвращённых записей 2
---------------------------------
    Если ipabackup.example.test — единственный DNS-сервер в топологии, следует добавить роль DNS-сервера на другой сервер FreeIPA (см. man ipa-dns-install(1)).
  2. Если в среде используется интегрированный CA:
    • убедиться, что ipabackup.example.test не является единственным CA в состоянии enabled: 
      # ipa server-role-find --role 'CA server'
----------------------------------------
установлено соответствие 2 ролей сервера
----------------------------------------
  Имя сервера: ipa.example.test
  Имя роли: CA server
  Состояние роли: enabled

  Имя сервера: ipabackup.example.test
  Имя роли: CA server
  Состояние роли: enabled
---------------------------------
Количество возвращённых записей 2
---------------------------------
      Если ipabackup.example.test — единственный CA в топологии, следует добавить роль CA-сервера на другой сервер FreeIPA (см. man ipa-ca-install(1)).
    • если в среде были активированы хранилища (enabled vaults), убедиться что ipabackup.example.test не является единственным включённым сервером Key Recovery Authority (KRA): 
      # ipa server-role-find --role 'KRA server'
----------------------------------------
установлено соответствие 2 ролей сервера
----------------------------------------
  Имя сервера: ipa.example.test
  Имя роли: KRA server
  Состояние роли: absent

  Имя сервера: ipabackup.example.test
  Имя роли: KRA server
  Состояние роли: absent
---------------------------------
Количество возвращённых записей 2
---------------------------------
      Если ipabackup.example.test — единственный сервер KRA в топологии, следует добавить роль сервера KRA на другой сервер FreeIPA (см. man ipa-kra-install(1)).
    • убедиться, что ipabackup.example.test не является сервером обновления CA: 
      # ipa config-show | grep 'CA renewal'
      Если ipabackup.example.test является сервером обновления CA, необходимо переместить роль сервера обновления CA на другой сервер.
    • убедиться, что ipabackup.example.test не является издателем текущего списка отзыва сертификатов (CRL): 
      # ipa-crlgen-manage status
      Если вывод команды показывают, что генерация CRL включена на сервере ipabackup.example.test, следует переместить роль издателя CRL на другой сервер.
  3. Подключиться к другому серверу в топологии: 
    $ ssh ipa_user@another_server
  4. Получить учетные данные администратора FreeIPA: 
    $ kinit admin
  5. Удалить сервер ipabackup.example.test из топологии: 
    $ ipa server-del ipabackup.example.test
  6. Вернуться на ipabackup.example.test и удалить FreeIPA: 
    # ipa-server-install --uninstall
This is a NON REVERSIBLE operation and will delete all data and configuration!
It is highly recommended to take a backup of existing data and configuration using ipa-backup utility before proceeding.

Are you sure you want to continue with the uninstall procedure? [no]: yes
Updating DNS system records
Принудительное удаление ipabackup.example.test
------------------------------------
Удалён IPA-сервер "ipabackup.example.test"
------------------------------------
Shutting down all IPA services
Unconfiguring named
Unconfiguring ipa-dnskeysyncd
Unconfiguring web server
Unconfiguring krb5kdc
Unconfiguring kadmin
Unconfiguring directory server
selinux is disabled, will not relabel ports or files.
Unconfiguring ipa-custodia
Unconfiguring ipa-otpd
Removing IPA client configuration
Removing Kerberos service principals from /etc/krb5.keytab
Disabling client Kerberos and LDAP configurations
Restoring client configuration files
Restoring (none) as NIS domain.
nscd daemon is not installed, skip configuration
nslcd daemon is not installed, skip configuration
Systemwide CA database updated.
Client uninstall complete.
The ipa-client-install command was successful
The ipa-server-install command was successful
  7. Далее необходимо убедиться, что все записи DNS сервера имен (NS), указывающие на ipabackup.example.test, удалены из ваших зон DNS.