39.3. LDAP サーバーの Identity Management への移行

重要

この例は一般的な移行手順のため、あらゆる環境に対応するわけではありません。
実際に LDAP 環境の移行に入る前に、LDAP のテスト環境を設定して移行プロセスを検証することを強く推奨します。
  1. カスタム LDAP ディレクトリースキーマなど、IdM サーバーを既存の LDAP ディレクトリーとは別のマシンにインストールします。

    注記

    IdM では、カスタムユーザーまたはグループスキーマのサポートに限りがあります。オブジェクトの定義に互換性がないので移行中に問題が発生する可能性があります。
  2. compat プラグインを無効にします。
    [root@server ~]# ipa-compat-manage disable
    compat ツリーから提供されているデータが移行中に必要な場合には、このステップは省略可能です。
  3. IdM Directory Server インスタンスを再起動します。
    [root@server ~]# systemctl restart dirsrv.target
  4. IdM サーバーが移行を許可するように設定
    [root@server ~]# ipa config-mod --enable-migration=TRUE
  5. IdM 移行用スクリプト ipa migrate-ds を実行します。最も基本的な移行の場合、ここで必要となるのは LDAP ディレクトリーインスタンスの LDAP URL のみです。
    [root@server ~]# ipa migrate-ds ldap://ldap.example.com:389
    LDAP URL を渡すだけで共通のデフォルト設定を使用するディレクトリーデータはすべて移行されます。ユーザーやグループのデータは ipa migrate-ds の使用例」 で説明しているように他のオプションを指定することで選択的に移行することが可能です。
    compat プラグインが以前のステップで無効化されている場合には、--with-compat オプションを ipa migrate-ds に渡します。
    情報のエクスポートが完了すると、ネーミングコンテキストが異なる場合には、このスクリプトにより、必要とされる IdM オブジェクトクラスおよび属性がすべて追加され、IdM ディレクトリーツリーと一致するよう DN は属性に変換されます。たとえば、uid=user,ou=people,dc=ldap,dc=example,dc=comuid=user,ou=people,dc=idm,dc=example,dc=com に移行されます。
  6. 無効化されている場合には、移行前に compat プラグインを再度有効にします。
    [root@server ~]# ipa-compat-manage enable
  7. IdM Directory Server インスタンスを再起動します。
    [root@server ~]# systemctl restart dirsrv.target
  8. 移行モードを無効にします。
    [root@server ]# ipa config-mod --enable-migration=FALSE
  9. オプションです。 SSSD ではないクライアントが LDAP 認証 (pam_ldap) ではなく Kerberos 認証 (pam_krb5) を使用するよう再設定します。全ユーザーが移行されるまで PAM_LDAP モジュールを使用し、次に PAM_KRB5 をしようできるようになります。詳しい情報は、システムレベルの認証ガイド』の適切なセクション を参照してください。
  10. ハッシュ化された Kerberos パスワードを生成するには、2 種類の方法があります。「パスワード移行のプランニング」に記載されているように、他にユーザーの対話なしにユーザーのパスワードを両方移行します。
    1. SSSD の使用:
      1. SSSD をインストールしているクライアントを LDAP バックエンドから IdM バックエンドに移動し、IdM でクライアントとして登録します。これにより必要なキーと証明書がダウンロードされます。
        Red Hat Enterprise Linux クライアントで、ipa-client-install コマンドを使用して実行できます。以下に例を示します。
        [root@server ~]# ipa-client-install --enable-dns-update
    2. IdM の移行 Web ページの使用
      1. 以下の移行 Web ページを使用して IdM にログインするように指示を出します。
        https://ipaserver.example.com/ipa/migration
  11. ユーザーの移行プロセスを監視するには、パスワードは持っているが Kerberos プリンシパルキーはまだないユーザーアカウントを表示するよう既存の LDAP ディレクトリーに問い合わせます。
    [user@server ~]$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=*))(userpassword=*))' uid

    注記

    フィルターの前後に単一引用符を付けてシェルで解釈されないようにします。
  12. クライアントとユーザーすべての移行が完了したら LDAP ディレクトリーを廃止します。