前提条件
FreeIPAのバージョンは4.6.8、一時的に普通のPCでipa98/ipa99というFreeIPAサーバーを立てて、移行作業後に本番で使うサーバー機でipa01/ipa02をレプリカにして、何も考えずにマルチマスターだからと思って、最初に作ったipa98/ipa99をIdMで削除して、しばらく認証されてるから良いと思ってたら新しいユーザー追加できなかった際の対応内容です。下記のエラーが発生しました。
Allocation of a new value for range cn=posix ids,cn=distributed numeric assignment plugin,cn=plugins,cn=config failed! Unable to proceed.
対応内容
現在のipa01とipa02のdna範囲を確認する。
# kinit admin # ipa-replica-manage dnarange-show
dna範囲が設定されていなかった。
ipa01.local.example.com: No range set ipa02.local.example.com: No range set
dnarange-setで設定できそうだけど、設定する範囲を知りたいので、消してしまったサーバーの残っていた設定ファイルをfindとgrepで探索してたら、それっぽいファイルを発見した。IdMと見比べても矛盾していなさそう。
… dnaMaxValue: 1304599999 dnaNextValue: 1304400063 …
下記のコマンドでdnaを範囲を設定したら無事にユーザーを追加できた。
# ipa-replica-manage dnarange-set ipa01.local.example.com 1304400063-1304599999