<div dir="ltr">In my case DNS is not an issue, FreeIPA is integrated with existing DNS servers. <div><br></div><div>The above procedure would work for migrating the user's data to a new IPA server that has a new host name. What if I would like to restore the original IPA server ? Could I repeat the above steps with the exception of  #4, in which I would restore backed-up certificates and keytab files. This should avoid the need to regenerate them, no? </div>
<div><br></div><div>In short how would you perform a full back-up and restore of the Primary IPA server?  I understand this is not a trivial task for the IPA server and from what I've learned it is probably not fully supported in the current ver 3.x</div>
<div><br></div><div><br></div><div>Thanks,</div><div><br></div><div>Dimitar</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 23, 2014 at 1:32 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/22/2014 06:57 PM, Petr Viktorin wrote:<br>
> On 01/22/2014 06:26 PM, Dimitar Georgievski wrote:<br>
>> Would you use ldapmodify -f file-name-with-exported-data to import the<br>
>> data back to a new copy of FreeIPA?<br>
><br>
> No, that generally won't work. There's more to IPA than the data in LDAP.<br>
> Instead of copying data you should install the new server as a replica of the<br>
> old one.<br>
<br>
</div>That would give you FreeIPA with the same domain, realm or certificate subject<br>
name.<br>
<br>
If you want to start with different settings, I would recommend:<br>
<br>
1) Installing new IPA server<br>
2) Using "ipa migrate-ds" command to migrate users and groups<br>
3) Use the ldapsearch&ldapmodify to migrate DNS (you may need to change the DN<br>
in the LDIF file to use correct SUFFIX if the realm changed)<br>
4) For all hosts - unenroll and enroll again against the new IPA. This is<br>
needed to regenerate the new certificates or host keytab<br>
<br>
HTH,<br>
Martin<br>
</blockquote></div><br></div>