Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第7章 同期から信頼への既存環境の移行

同期と 信頼は、間接統合には 2 つのアプローチです。同期は推奨されません。Red Hat は、代わりに Active Directory(AD)信頼に基づいてアプローチを使用することを推奨します。「間接統合」
本章では、既存の同期ベースの設定を AD 信頼に移行する方法を説明します。IdM では、以下の移行オプションが利用できます。

7.1. ipa-winsync-migrateを使用した Synchronization から Trust 自動への移行

重要
ipa-winsync-migrate ユーティリティーは、Red Hat Enterprise Linux 7.2 以降を実行しているシステムでのみ利用できます。

7.1.1. ipa-winsync-migrate の仕組み

ipa-winsync-migrate ユーティリティーは、同期した全ユーザーをすべて AD フォレストから移行し、Winsync 環境内の既存の設定を保持し、AD 信頼に転送します。Winsync 合意によって作成された各 AD ユーザーについて、ipa-winsync-migrate は Default Trust View に ID オーバーライドを作成します 「Active Directory のデフォルトの信頼ビュー」)。
移行の完了後:
  • AD ユーザーの ID オーバーライドには、以下の属性が Winsync の元のエントリーからコピーされます。
    • ログイン名(uid)
    • UID 番号(uidnumber)
    • GID 番号(gidnumber)
    • ホームディレクトリー(ホームディレクトリー
    • GECOS エントリー(gecos)
  • AD 信頼のユーザーアカウントは、以下のような元の設定を IdM に保持します。
    • POSIX 属性
    • ユーザーグループ
    • ロールベースのアクセス制御ルール
    • ホストベースのアクセス制御ルール
    • SELinux メンバーシップ
    • sudo rules
  • 新しい AD ユーザーが外部 IdM グループのメンバーとして追加されます。
  • オリジナルの Winsync レプリカ合意、元の同期されたユーザーアカウント、ユーザーアカウントのすべてのローカルコピーが削除されます。

7.1.2. ipa-winsync-migrateを使用した移行方法

開始する前に、以下を確認してください。
移行方法:
  1. 同期されたドメインで信頼を作成します。を参照してください 5章Active Directory および Identity Management を使用したフォレスト間の信頼の作成
  2. ipa-winsync-migrate を実行して、AD レルムと、AD ドメインコントローラーのホスト名を指定します。 
    # ipa-winsync-migrate --realm example.com --server ad.example.com
    ipa-winsync-migrate によって作成されたオーバーライドで競合が発生した場合には、競合に関する情報が表示されますが、移行は続行されます。
  3. AD サーバーからパスワード同期サービスをアンインストールします。これにより、AD ドメインコントローラーから同期合意が削除されます。
ユーティリティーの詳細は、ipa-winsync-migrate(1) の man ページを参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。