Глава 6. Удаление сервера FreeIPA

⁠Глава 6. Удаление сервера FreeIPA

Примечание

Перед удалением FreeIPA-сервера необходимо убедиться, что он не выполняет критических ролей в топологии.

Процедура удаления сервера FreeIPA ipabackup.example.test:

Если в среде FreeIPA используется встроенный DNS, следует убедиться, что ipabackup.example.test не является единственным DNS-сервером в состоянии enabled:

# ipa server-role-find --role 'DNS server'
----------------------------------------
установлено соответствие 2 ролей сервера
----------------------------------------
  Имя сервера: ipa.example.test
  Имя роли: DNS server
  Состояние роли: enabled

  Имя сервера: ipabackup.example.test
  Имя роли: DNS server
  Состояние роли: enabled
---------------------------------
Количество возвращённых записей 2
---------------------------------

Если ipabackup.example.test — единственный DNS-сервер в топологии, следует сначала добавить роль DNS-сервера на другой сервер FreeIPA (см. man ipa-dns-install(1)).

Если в среде используется встроенный CA:
- убедиться, что ipabackup.example.test — не единственный CA в состоянии enabled:
  # ipa server-role-find --role 'CA server' ---------------------------------------- установлено соответствие 2 ролей сервера ---------------------------------------- Имя сервера: ipa.example.test Имя роли: CA server Состояние роли: enabled Имя сервера: ipabackup.example.test Имя роли: CA server Состояние роли: enabled --------------------------------- Количество возвращённых записей 2 ---------------------------------
  Если ipabackup.example.test — единственный CA в топологии, следует сначала добавить роль CA-сервера на другой сервер FreeIPA (см. man ipa-ca-install(1)).
- если в среде используются хранилища (enabled vaults), убедиться что ipabackup.example.test не является единственным включённым сервером Key Recovery Authority (KRA):
  # ipa server-role-find --role 'KRA server' ---------------------------------------- установлено соответствие 2 ролей сервера ---------------------------------------- Имя сервера: ipa.example.test Имя роли: KRA server Состояние роли: absent Имя сервера: ipabackup.example.test Имя роли: KRA server Состояние роли: absent --------------------------------- Количество возвращённых записей 2 ---------------------------------
  Если ipabackup.example.test — единственный сервер KRA в топологии, следует сначала установите KRA на другой сервер FreeIPA (см. man ipa-kra-install(1)).
- убедиться, что ipabackup.example.test не отвечает за обновление сертификатов CA:
  # ipa config-show | grep 'CA renewal'
  Если вывод содержит ipabackup.example.test, необходимо переместить роль обновления на другой сервер.
- убедиться, что ipabackup.example.test не генерирует список отзыва сертификатов (CRL):
  # ipa-crlgen-manage status
  Если вывод команды показывает, что генерация CRL включена, следует отключить её и настроить CRL на другом сервере.
Подключиться к другому серверу FreeIPA в топологии:
```
$ ssh ipa_user@another_server
```
Авторизоваться:
```
$ kinit admin
```
Удалить сервер ipabackup.example.test из топологии:
```
$ ipa server-del ipabackup.example.test
```

Вернуться на ipabackup.example.test и выполнить локальное удаление:

# ipa-server-install --uninstall
This is a NON REVERSIBLE operation and will delete all data and configuration!
It is highly recommended to take a backup of existing data and configuration using ipa-backup utility before proceeding.

Are you sure you want to continue with the uninstall procedure? [no]: yes
Updating DNS system records
Принудительное удаление ipabackup.example.test
------------------------------------
Удалён IPA-сервер "ipabackup.example.test"
------------------------------------
Shutting down all IPA services
Unconfiguring named
Unconfiguring ipa-dnskeysyncd
Unconfiguring web server
Unconfiguring krb5kdc
Unconfiguring kadmin
Unconfiguring directory server
selinux is disabled, will not relabel ports or files.
Unconfiguring ipa-custodia
Unconfiguring ipa-otpd
Removing IPA client configuration
Removing Kerberos service principals from /etc/krb5.keytab
Disabling client Kerberos and LDAP configurations
Restoring client configuration files
Restoring (none) as NIS domain.
nscd daemon is not installed, skip configuration
nslcd daemon is not installed, skip configuration
Systemwide CA database updated.
Client uninstall complete.
The ipa-client-install command was successful
The ipa-server-install command was successful

Далее необходимо убедиться, что все NS-записи, A/AAAA-записи и SRV-записи, ссылающиеся на ipabackup.example.test, удалены из зон DNS.