Show Table of Contents
7.1.
7.1.1.
7.1.2.
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第7章 同期から信頼への既存環境の移行
同期 および 信頼は、間接的な統合で使用可能な 2 つのアプローチです。同期は一般的に推奨されず、Red Hat では Active Directory (AD) 信頼をベースとしたアプローチを推奨しています。詳細は、「間接的な統合」 を参照してください。
本章では、既存の同期ベースの設定を AD 信頼に移行する方法について説明しています。以下の移行オプションは IdM で利用可能です。
7.1. ipa-winsync-migrate
を使用した同期から信頼への自動移行
重要
ipa-winsync-migrate
ユーティリティーは、Red Hat Enterprise Linux 7.2 およびそれ以降を稼働中のシステムでのみ利用可能です。
7.1.1. ipa-winsync-migrate
を使った移行の仕組み
ipa-winsync-migrate
ユーティリティーは、同期済みユーザーすべてを AD フォレストから移行します。この間、既存の Winsync 環境は維持され、これが AD 信頼に送信されます。Winsync 合意で作成された各 AD ユーザーには、ipa-winsync-migrate
がデフォルト信頼ビュー内に ID 上書きを作成します (「Active Directory のデフォルト信頼ビュー」 を参照)。
移行完了後には、以下のようになります。
- AD ユーザーの ID 上書きに、Winsync 内のオリジナルのエントリーから以下の属性がコピーされます。
- ログイン名 (
uid
) - UID 番号 (
uidnumber
) - GID 番号 (
gidnumber
) - ホームディレクトリー (
homedirectory
) - GECOS エントリー (
gecos
)
- AD 信頼内のユーザーアカウントは、以下を含む IdM 内の元の設定を保持します。
- POSIX 属性
- ユーザーグループ
- ロールベースのアクセス制御ルール
- ホストベースのアクセス制御ルール
- SELinux メンバーシップ
sudo
ルール
- 新規 AD ユーザーが外部 IdM グループのメンバーとして追加されます。
- 元の Winsync レプリケーション合意、元の同期済みユーザーアカウント、ユーザーアカウントのローカルコピーすべてが削除されます。
7.1.2. ipa-winsync-migrate
を使用した移行方法
作業開始前に、以下を実行してください。
ipa-backup
ユーティリティーを使って IdM 設定をバックアップする。Linux ドメイン ID、認証、およびポリシーガイド の 『Backing Up and Restoring Identity Management』 を参照してください。理由: 移行は、IdM 設定および多くのユーザーアカウントに多大な影響を及ぼします。バックアップを作成することで、必要な場合は元の設定を復元することができます。
移行は、以下の手順で実行します。
- 同期されたドメインで信頼を作成します。5章Active Directory および Identity Management によるフォレスト間の信頼作成 を参照してください。
ipa-winsync-migrate
を実行して、AD レルムと、AD ドメインコントローラーのホスト名を指定してください。# ipa-winsync-migrate --realm example.com --server ad.example.com
ipa-winsync-migrate
が作成した上書き内で競合が発生した場合は、この競合についての情報が表示されますが、移行は継続されます。- ADサーバーからのパスワード同期サービスをアンインストールします。これにより、AD ドメインコントローラーから同期合意が削除されます。
このユーティリティーについての詳細は、ipa-winsync-migrate(1) man ページを参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。