第1章 RHEL 7 サーバーから RHEL 8 サーバーへの IdM 環境の移行
RHEL 7 IdM 環境を RHEL 8 にアップグレードするには、最初に新しい RHEL 8 IdM レプリカを RHEL 7 IdM 環境に追加し、RHEL 7 サーバーをリタイアさせる必要があります。
- RHEL 8 への RHEL 7 IdM サーバーのインプレースアップグレードはサポートしていません。
RHEL 6 以前のバージョンから RHEL 8 への直接移行はサポートされていません。IdM データを適切に更新するには、増分移行を実行する必要があります。
たとえば、RHEL 6 IdM 環境を RHEL 8 に移行するには、次のコマンドを実行します。
- RHEL 6 サーバーから RHEL 7 サーバーに移行します。Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行 を参照してください。
- 本セクションで説明されているように、RHEL 7 サーバーから RHEL 8 サーバーに移行します。
RHEL 8 は SPAKE と IdP 事前認証をサポートしていますが、RHEL 7 はサポートしていません。RHEL 7 IdM デプロイメントで SPAKE または IdP が有効になっている RHEL 8 サーバーを使用すると、ユーザーがログインできないなどの問題が発生する可能性があります。
Red Hat は、IdM デプロイメント内のすべてのサーバーをできるだけ早く移行し、古いシステムを長期間稼働させたままにしないことを強く推奨します。
詳細は以下を参照してください。
この手順では、すべての Identity Management (IdM) のデータおよび設定を、RHEL (Red Hat Enterprise Linux) 7 サーバーから RHEL 8 サーバーへ 移行 する方法を説明します。この手順を使用して、RHEL 以外の Linux ディストリビューション上の FreeIPA サーバーから RHEL 8 サーバー上の IdM に移行することもできます。
移行手順には、以下が含まれます。
- RHEL 8 IdM サーバーを設定し、現在の RHEL 7 IdM 環境にレプリカとして追加します。詳細は、RHEL 8 レプリカのインストール を参照してください。
- RHEL 8 サーバーを認証局 (CA) 更新サーバーにする。詳細は、RHEL 8 IdM サーバーへの CA 更新サーバーロールの割り当て を参照してください。
- RHEL 7 サーバーで証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 8 にリダイレクトする。詳細は RHEL 7 IdM CA サーバーでの CRL 生成の停止 を参照してください。
- RHEL 8 サーバーで CRL の生成を開始する。詳細は 新しい RHEL 8 IdM CA サーバーでの CRL 生成の開始 を参照してください。
- 元の RHEL 7 CA 更新サーバーを停止して使用を中止する。詳細は RHEL 7 サーバーの停止および使用停止 を参照してください。
手順では、以下を前提としています。
-
rhel8.example.com
は、新しい CA 更新サーバーとなる RHEL 8 システムです。 rhel7.example.com
は、元の RHEL 7 CA 更新サーバーです。マスター CA 更新サーバーである Red Hat Enterprise Linux 7 サーバーを特定するには、任意の IdM サーバーで次のコマンドを実行します。[root@rhel7 ~]# ipa config-show | grep "CA renewal" IPA CA renewal master: rhel7.example.com
IdM デプロイメントで認証局 (CA) を使用しない場合、RHEL 7 で実行している IdM サーバーは
rhel7.example.com
にすることができます。
IdM デプロイメントが組み込み CA を使用する場合に のみ、以下のセクションの手順を完了します。
1.1. RHEL 7 から 8 への IdM の移行の前提条件
rhel7.example.com
で、以下を行います。
- システムを最新の RHEL 7 バージョンへアップグレードしている。
- ドメインのドメインレベルが 1 に設定されていることを確認します。詳細は、RHEL 7 の Linux ドメイン ID、認証、およびポリシーガイド の ドメインレベルの表示と引き上げ を参照してください。
ipa-* パッケージを最新バージョンへ更新している。
[root@rhel7 ~]# yum update ipa-*
警告複数の Identity Management (IdM) サーバーをアップグレードする場合は、各アップグレードの間隔は少なくとも 10 分あけてください。
複数のサーバーで同時または間隔をあまりあけないでアップグレードを行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。
rhel8.example.com
で、以下を行います。
- 最新バージョンの Red Hat Enterprise Linux がシステムにインストールされている。詳細は 標準的な RHEL 8 インストールの実行 を参照してください。
時刻サーバー
rhel7.example.com
が以下と同期していることを確認します。[root@rhel7 ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 s
重要RHEL 8 では IdM は独自の時刻サーバーを提供しません。つまり、
rhel8.example.com
に IdM をインストールしても、ホストに NTP サーバーはインストールされません。したがって、ntp.example.com
などの別の NTP サーバーを使用する必要があります。詳細は chrony への移行 および IdM のタイムサービス要件 を参照してください。rhel7.example.com
は NTP サーバーロールで使用できますが、移行プロセスの一環としてサーバーの使用を停止します。したがって、rhel8.example.com
は、代わりにntp.example.com
と直接同期する必要があります。これは、クライアントのインストールプロセス中に指定できます。システムが、
rhel7.example.com
IdM サーバーが権威のあるドメインに登録されている IdM クライアントであることを確認します。詳細は、IdM クライアントのインストール を参照してください。重要クライアントをインストールするときに、
--ntp-server
オプションを使用して、前の手順のタイムサーバーを指定します。NTP サーバーのプールを使用している場合は、--ntp-pool
オプションを使用します。NTP サーバーを手動で指定しない場合は、DNS レコードから自動的に設定されます。これにより、
rhel8.example.com
がrhel7.example.com
と同期することになります。これにより、RHEL 7 サーバーが使用できなくなると問題が発生します。RHEL8 システムがすでに NTP クライアントとして適切に設定されている場合は、IdM クライアントのインストールを実行するときに
--no-ntp
オプションを使用できます。- システムが IdM サーバーのインストール要件を満たしていることを確認します。Preparing the system for IdM server installation を参照してください。
- システムで IdM レプリカのインストールが許可されていることを確認します。Authorizing the installation of a replica on an IdM client を参照してください。
ipa-* パッケージを最新バージョンへ更新している。
[root@rhel7 ~]# yum update ipa-*