Red Hat Training

A Red Hat training course is available for RHEL 8

第28章 RHEL 7 サーバーから RHEL 8 サーバーへの IdM 環境の移行

RHEL 7 IdM 環境を RHEL 8 にアップグレードするには、最初に新しい RHEL 8 IdM レプリカを RHEL 7 IdM 環境に追加し、RHEL 7 サーバーをリタイアさせる必要があります。

警告

RHEL 8 への RHEL 7 IdM サーバーのインプレースアップグレードはサポートしていません。

このセクションでは、すべての Identity Management (IdM) のデータおよび設定を、RHEL (Red Hat Enterprise Linux) 7 サーバーから RHEL 8 サーバーへ 移行 する方法を説明します。

移行手順には、以下が含まれます。

  1. RHEL 8 IdM サーバーを設定し、現在の RHEL 7 IdM 環境にレプリカとして追加します。詳細は「RHEL 8 レプリカのインストール」を参照してください。
  2. RHEL 8 サーバーを認証局 (CA) 更新サーバーにする。詳細は「RHEL 8 IdM サーバーへの CA 更新サーバーロールの割り当て」を参照してください。
  3. RHEL 7 サーバーで証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 8 にリダイレクトする。詳細は「RHEL 7 IdM CA サーバーでの CRL 生成の停止」を参照してください。
  4. RHEL 8 サーバーで CRL の生成を開始する。詳細は「新しい RHEL 8 IdM CA サーバーでの CRL 生成の開始」を参照してください。
  5. 元の RHEL 7 CA 更新サーバーを停止して使用を中止する。詳細は「RHEL 7 サーバーの停止および使用停止」を参照してください。

手順では、以下を前提としています。

  • rhel8.example.com は、新しい CA 更新サーバーとなる RHEL 8 システムです。
  • rhel7.example.com は、元の RHEL 7 CA 更新サーバーです。マスター CA 更新サーバーである Red Hat Enterprise Linux 7 サーバーを特定するには、任意の IdM サーバーで次のコマンドを実行します。

    [root@rhel7 ~]# ipa config-show | grep "CA renewal"
    IPA CA renewal master: rhel7.example.com

    IdM デプロイメントに CA がない場合、RHEL 7 で実行している IdM サーバーは rhel7.example.com になります。

注記

IdM デプロイメントで組み込み認証局 (CA) しか使用する場合に限り、以下のセクションの手順を実行します。

28.1. RHEL 7 から 8 への IdM の移行の前提条件

rhel7.example.com で、以下を行います。

  1. システムを最新の RHEL 7 バージョンへアップグレードしている。
  2. ドメインのドメインレベルが 1 に設定されていることを確認します。詳細は、RHEL 7 の『Linux Domain Identity, Authentication, and Policy Guide』の「Displaying and Raising the Domain Level」を参照してください。
  3. ipa-* パッケージを最新バージョンへ更新している。

    [root@rhel7 ~]# yum update ipa-*
    警告

    複数の Identity Management (IdM) サーバーをアップグレードする場合は、各アップグレードの間隔は少なくとも 10 分あけてください。

    複数のサーバーで同時または間隔をあまりあけないでアップグレードを行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。

rhel8.example.com で、以下を行います。

  1. 最新バージョンの Red Hat Enterprise Linux がシステムにインストールされている。詳細は『Performing a standard RHEL installation』を参照してください。
  2. システムが、rhel7.example.com IdM サーバーが権威のあるドメインに登録されている IdM クライアントであることを確認します。詳細は、IdM クライアントのインストール: 基本的なシナリオを参照してください。
  3. システムが IdM サーバーのインストールに関する要件を満たしていることを確認します。
  4. 時刻サーバー rhel7.example.com が以下と同期していることを確認します。

    [root@rhel7 ~]# ntpstat
    synchronised to NTP server (ntp.example.com) at stratum 3
       time correct to within 42 ms
       polling server every 1024 s
    重要

    RHEL 8 では IdM は独自の時刻サーバーを提供しません。つまり、rhel8.example.com に IdM をインストールしても、ホストに NTP サーバーはインストールされません。したがって、ntp.example.com などの別の NTP サーバーを使用する必要があります。詳細はMigrating to chronyおよびIdM のタイムサービス要件を参照してください。

    rhel7.example.com は NTP サーバーロールで使用できますが、移行プロセスの一環としてサーバーの使用を停止します。したがって、rhel8.example.com は、代わりに ntp.example.com と直接同期する必要があります。これは、インストールプロセス時に指定できます。

  5. システムで IdM レプリカのインストールが許可されていることを確認します。
  6. ipa-* パッケージを最新バージョンへ更新している。

    [root@rhel7 ~]# yum update ipa-*

関連情報

  • 新しい IdM プライマリーサーバー rhel8.example.com にインストールするサーバーロールを決定するには、以下のリンクを参照してください。

  • RHEL 8 で IdM の特定のサーバーロールをインストールするには、特定の IdM モジュールストリームからパッケージをダウンロードする必要があります(dM サーバーに必要なパッケージのインストール)。
  • システムを RHEL 7 から RHEL 8 にアップグレードするには、『Upgrading from RHEL 7 to RHEL 8』を参照してください。