第7章 同期から信頼への既存環境の移行

同期 および 信頼は、間接的な統合で使用可能な 2 つのアプローチです。同期は一般的に推奨されず、Red Hat では Active Directory (AD) 信頼をベースとしたアプローチを推奨しています。詳細は、「間接的な統合」 を参照してください。
本章では、既存の同期ベースの設定を AD 信頼に移行する方法について説明しています。以下の移行オプションは IdM で利用可能です。

7.1. ipa-winsync-migrate を使用した同期から信頼への自動移行

重要

ipa-winsync-migrate ユーティリティーは、Red Hat Enterprise Linux 7.2 およびそれ以降を稼働中のシステムでのみ利用可能です。

7.1.1. ipa-winsync-migrate を使った移行の仕組み

ipa-winsync-migrate ユーティリティーは、同期済みユーザーすべてを AD フォレストから移行します。この間、既存の Winsync 環境は維持され、これが AD 信頼に送信されます。Winsync 合意で作成された各 AD ユーザーには、ipa-winsync-migrate がデフォルト信頼ビュー内に ID 上書きを作成します (「Active Directory のデフォルト信頼ビュー」 を参照)。
移行完了後には、以下のようになります。
  • AD ユーザーの ID 上書きに、Winsync 内のオリジナルのエントリーから以下の属性がコピーされます。
    • ログイン名 (uid)
    • UID 番号 (uidnumber)
    • GID 番号 (gidnumber)
    • ホームディレクトリー (homedirectory)
    • GECOS エントリー (gecos)
  • AD 信頼内のユーザーアカウントは、以下を含む IdM 内の元の設定を保持します。
    • POSIX 属性
    • ユーザーグループ
    • ロールベースのアクセス制御ルール
    • ホストベースのアクセス制御ルール
    • SELinux メンバーシップ
    • sudo ルール
  • 新規 AD ユーザーが外部 IdM グループのメンバーとして追加されます。
  • 元の Winsync レプリケーション合意、元の同期済みユーザーアカウント、ユーザーアカウントのローカルコピーすべてが削除されます。

7.1.2. ipa-winsync-migrate を使用した移行方法

作業開始前に、以下を実行してください。
  • ipa-backup ユーティリティーを使って IdM 設定をバックアップする。Linux ドメイン ID、認証、およびポリシーガイド の 『Backing Up and Restoring Identity Management』 を参照してください。
    理由: 移行は、IdM 設定および多くのユーザーアカウントに多大な影響を及ぼします。バックアップを作成することで、必要な場合は元の設定を復元することができます。
移行は、以下の手順で実行します。
  1. 同期されたドメインで信頼を作成します。5章Active Directory および Identity Management によるフォレスト間の信頼作成 を参照してください。
  2. ipa-winsync-migrate を実行して、AD レルムと、AD ドメインコントローラーのホスト名を指定してください。 
    # ipa-winsync-migrate --realm example.com --server ad.example.com
    ipa-winsync-migrate が作成した上書き内で競合が発生した場合は、この競合についての情報が表示されますが、移行は継続されます。
  3. ADサーバーからのパスワード同期サービスをアンインストールします。これにより、AD ドメインコントローラーから同期合意が削除されます。
このユーティリティーについての詳細は、ipa-winsync-migrate(1) man ページを参照してください。