<p dir="ltr">Hi Martin </p>
<p dir="ltr">I actually mean restore. It's a complicated situation... There once was a primary and it's CA replica. The primary got hosed and was cloned a few years ago from the replica. Then the replica got hosed a few times too,  saved by the "primary",  only now it wouldn't install a CA during replica setup.  Now the cloned primary got hosed (it sees itself as a clone and being a the only CA,  has nowhere to go to renew certs). We opted to reinstall a fresh primary and now we are looking for how to copy existing data from the standing CA-less replica (everything is the same,  realms,  DNS hosts, HBAC, sudo rules,  etc ) to the freshly installed CA primary.  This would be amazing if we could or we'll have to setup the entire network and rules from scratch. <br>
I would really appreciate some example commands we could run to import data into the new primary.  We've already run db2bak and db2ldif on the replica to export from a helpful script we found in a thread. <br>
I hope you can help us! </p>
<br><div class="gmail_quote">On Tue, May 26, 2015, 7:42 AM Martin Kosek <<a href="mailto:mkosek@redhat.com">mkosek@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 05/25/2015 05:46 PM, Sina Owolabi wrote:<br>
> Hi!<br>
><br>
> Please how do I restore data to a freshly reinstalled IPA server from<br>
> an existing CA-less replica that has had replication agreements<br>
> removed?<br>
<br>
By restore, you mean actually migrate? We have a pending RFE for this:<br>
<a href="https://fedorahosted.org/freeipa/ticket/3656" target="_blank">https://fedorahosted.org/freeipa/ticket/3656</a><br>
<br>
Migration of users/groups can be done via migrate-ds command. Migration of<br>
SUDO/HBAC/automount/... can be done by LDIF export and import (with some<br>
changes realms, etc.). But we have no automated way how to migrate Kerberos<br>
keys or certificates as the underlying keys are different.<br>
<br>
> Both servers are running rhel 6.6 with ipa-server versions 3.0.0<br>
> ( For some reason the IPA servers do not upgrade beyond this version).<br>
<br>
If you want a higher version than FreeIPA 3.0.0, please use RHEL-7.x. RHEL-7.1<br>
has FreeIPA 4.1, which is much more cooler than 3.0.0 :-) This is what we<br>
recommend for new deployments anyway.<br>
<br>
> I have been searching for information from RHEL knowledgebase and from<br>
> the FreeIPA site but I do not find information that exactly matches my<br>
> situation.<br>
><br>
> I am grateful for any assistance in this.<br>
><br>
><br>
> Thanks!<br>
><br>
<br>
HTH,<br>
Martin<br>
</blockquote></div>