Hello
I ve 3 Freeipa Server, replicated in each other as a topology.
[root@ipa001 ~] ipa-replica-manage list ipa03.domain.local: master ipa02.domain.local: master ipa01.domain.local: master this is the output of the command ipa find role :
[root@ipa001 ~]# ipa server-role-find --server ipa001.domain.local ------------------------------ 6 rôles serveur correspondants ------------------------------ Nom du serveur: ipa01.domain.local Nom du rôle: CA server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: NTP server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa01.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa01.domain.local Nom du rôle: AD trust controller État du rôle: absent ---------------------------- Nombre d'entrées renvoyées 6 ---------------------------- [root@ipa01 ~]# ipa server-role-find --server ipa02.domain.local ------------------------------ 6 rôles serveur correspondants ------------------------------ Nom du serveur: ipa02.domain.local Nom du rôle: CA server État du rôle: enabled
Nom du serveur: ipa02.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa02.domain.local Nom du rôle: NTP server État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: AD trust controller État du rôle: absent ---------------------------- Nombre d'entrées renvoyées 6 ---------------------------- [root@ipa01 ~]# ipa server-role-find --server ipa03.domain.local ------------------------------ 6 rôles serveur correspondants ------------------------------ Nom du serveur: ipa03.domain.local Nom du rôle: CA server État du rôle: configured
Nom du serveur: ipa03.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa03.domain.local Nom du rôle: NTP server État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: AD trust controller État du rôle: absent ---------------------------- Nombre d'entrées renvoyées 6 ---------------------------- [root@ipa01 ~]# when i delete the ipa01 server, i will lose the ntp role. i want to delegate the ntp role to the 2 servers, but i don't know what NTP server is configured in the IPA01.
also, i see that the CA server role is configured, Any idea to see that configuration and know why this role is not enabled ? can i see all configuration and know what options is selected to install replicas ? ( --no-forwarders, etc )
Thanks
On Срд, 10 ліп 2024, John Michelle via FreeIPA-users wrote:
Hello
I ve 3 Freeipa Server, replicated in each other as a topology.
What versions of the IPA and OS are these?
[root@ipa001 ~] ipa-replica-manage list ipa03.domain.local: master ipa02.domain.local: master ipa01.domain.local: master this is the output of the command ipa find role :
[root@ipa001 ~]# ipa server-role-find --server ipa001.domain.local
6 rôles serveur correspondants
Nom du serveur: ipa01.domain.local Nom du rôle: CA server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: NTP server État du rôle: enabled
Nom du serveur: ipa01.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa01.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa01.domain.local Nom du rôle: AD trust controller État du rôle: absent
Nombre d'entrées renvoyées 6
[root@ipa01 ~]# ipa server-role-find --server ipa02.domain.local
6 rôles serveur correspondants
Nom du serveur: ipa02.domain.local Nom du rôle: CA server État du rôle: enabled
Nom du serveur: ipa02.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa02.domain.local Nom du rôle: NTP server État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa02.domain.local Nom du rôle: AD trust controller État du rôle: absent
Nombre d'entrées renvoyées 6
[root@ipa01 ~]# ipa server-role-find --server ipa03.domain.local
6 rôles serveur correspondants
Nom du serveur: ipa03.domain.local Nom du rôle: CA server État du rôle: configured
Nom du serveur: ipa03.domain.local Nom du rôle: DNS server État du rôle: enabled
Nom du serveur: ipa03.domain.local Nom du rôle: NTP server État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: AD trust agent État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: KRA server État du rôle: absent
Nom du serveur: ipa03.domain.local Nom du rôle: AD trust controller État du rôle: absent
Nombre d'entrées renvoyées 6
[root@ipa01 ~]# when i delete the ipa01 server, i will lose the ntp role. i want to delegate the ntp role to the 2 servers, but i don't know what NTP server is configured in the IPA01.
Since ~2018 and https://pagure.io/freeipa/issue/7024 FreeIPA does not provide NTP server role and it is removed on upgrades. Whatever NTP server is used by the system is 'good enough'.
also, i see that the CA server role is configured, Any idea to see that configuration and know why this role is not enabled ? can i see all configuration and know what options is selected to install replicas ? ( --no-forwarders, etc )
You should look at the migration guides. See https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/html/mig...
Migration guide has important steps described for any IPA server migration.
On Срд, 10 ліп 2024, John Michelle via FreeIPA-users wrote:
i use freeipa 4.6.8
Ok, my comment stands: we don't have NTP server support since that time and the rest is described in the migration guide.
thanks , but i would migrate to rocky 8.10 , so i ask for delegation when i delete ipa01 from topology and replace them by NEW rocky OS Vm
On Срд, 10 ліп 2024, John Michelle via FreeIPA-users wrote:
thanks , but i would migrate to rocky 8.10 , so i ask for delegation when i delete ipa01 from topology and replace them by NEW rocky OS Vm
Please read and use the migration guide I pointed you to. RockyLinux 8.10 is a RHEL 8 clone. From the migration documentation point of view you can treat it as 'RHEL 8'.
in my case, i cannot execute yum update freeipa
the last version is 4.6.8 , i need to replace my servers one by one.
so , can you please help me and tell me how i can verify all of the above question ?
John Michelle via FreeIPA-users wrote:
in my case, i cannot execute yum update freeipa
the last version is 4.6.8 , i need to replace my servers one by one.
so , can you please help me and tell me how i can verify all of the above question ?
Did you read the guide yet?
In short you stand up a new RHEL 8 (or equivalent) replica with the --setup-ca flag to replace each of your RHEL 7. Then remove the RHEL 7 server(s) once things are working.
You can do this replacement in any number of ways, removing one RHEL 7 as a RHEL 8 is added, add them all then remove all the RHEL 7, etc. But you MUST read the documentation because there is very important information to follow during migration from one release to another.
There is no in-place upgrade between RHEL releases.
You might also check out the ipa-healthcheck package in RHEL-8 which will look for common pain points. It isn't a guarantee that everything is fine but it will warn about many common issues.
rob
freeipa-users@lists.fedorahosted.org