Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

39.3. LDAP サーバーの Identity Management への移行

重要
これは一般的な移行手順ですが、すべての環境で機能しない可能性があります。
実際に LDAP 環境を移行する前に、LDAP のテスト環境を設定して移行プロセスのテストを行うことを強く推奨します。
  1. カスタム LDAP ディレクトリースキーマを含む IdM サーバーを既存の LDAP ディレクトリーとは異なるマシンにインストールします。
    注記
    カスタムユーザーまたはグループスキーマのサポートは IdM で制限されています。オブジェクト定義が互換性のないため、移行時に問題が発生する可能性があります。
  2. compat プラグインを無効にします。
    [root@server ~]# ipa-compat-manage disable
    移行中に compat ツリーによって提供されるデータが必要な場合は、この手順は必要ありません。
  3. IdM Directory Server インスタンスを再起動します。
    [root@server ~]# systemctl restart dirsrv.target
  4. 移行を許可するように IdM サーバーを設定します。
    [root@server ~]# ipa config-mod --enable-migration=TRUE
  5. IdM 移行スクリプト (ipa migrate-ds )を実行します。最も基本的な移行には、LDAP ディレクトリーインスタンスの LDAP URL のみが必要です。
    [root@server ~]# ipa migrate-ds ldap://ldap.example.com:389
    LDAP URL を渡すだけで共通のデフォルト設定を使用するディレクトリーデータはすべて移行されます。ユーザーやグループのデータは、ipa migrate-ds を使用する例
    以前の手順で compat プラグインが無効ではない場合は、--with-compat オプションを ipa migrate-ds に渡します。
    情報のエクスポートが完了すると、スクリプトは必要な IdM オブジェクトクラスおよび属性すべてを追加し、命名コンテキストが異なる場合に、IdM ディレクトリーツリーに一致するように DN を変換します。たとえば、uid=user,ou=people,dc=ldap,dc=example,dc=comuid=user,ou=people,dc=idm,dc=example,dc=com に移行されます。
  6. compat プラグインを再度有効にするには、移行前に無効にしてください。
    [root@server ~]# ipa-compat-manage enable
  7. IdM Directory Server インスタンスを再起動します。
    [root@server ~]# systemctl restart dirsrv.target
  8. 移行モードを無効にします。
    [root@server ]# ipa config-mod --enable-migration=FALSE
  9. 任意です。SSSD 以外のクライアントが LDAP 認証(pam_ldap)ではなく Kerberos 認証(pam_krb5)を使用するように再設定します。全ユーザーが移行されるまで PAM_LDAP モジュールを使用し、次に PAM_KRB5 を使用できます。詳細は、『システムレベルの認証ガイド』の関連のセクションを参照してください
  10. ハッシュ化された Kerberos パスワードを生成する方法は 2 つあります。「パスワード移行のプランニング」
    1. SSSD の使用:
      1. SSSD が LDAP バックエンドから IdM バックエンドにインストールされたクライアントを移行し、クライアントとして IdM として登録します。これにより、必要なキーおよび証明書がダウンロードされます。
        Red Hat Enterprise Linux クライアントでは、ipa-client-install コマンドを使用して実行できます。以下に例を示します。
        [root@server ~]# ipa-client-install --enable-dns-update
    2. IdM 移行 Web ページの使用
      1. 移行 Web ページを使用して IdM にログインするように指示します。
        https://ipaserver.example.com/ipa/migration
  11. ユーザーの移行プロセスを監視するには、パスワードがあるが Kerberos プリンシパルキーはまだないユーザーアカウントを表示するよう既存の LDAP ディレクトリーに問い合わせます。
    [user@server ~]$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=*))(userpassword=*))' uid
    注記
    フィルターの前後に単一引用符を付けてシェルで解釈されないようにします。
  12. クライアントとユーザーすべての移行が完了したら LDAP ディレクトリーを廃止します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。