第1章 RHEL 7 サーバーから RHEL 8 サーバーへの IdM 環境の移行

RHEL 7 IdM 環境を RHEL 8 にアップグレードするには、最初に新しい RHEL 8 IdM レプリカを RHEL 7 IdM 環境に追加し、RHEL 7 サーバーをリタイアさせる必要があります。

警告
  • RHEL 8 への RHEL 7 IdM サーバーのインプレースアップグレードはサポートしていません。
  • RHEL 6 以前のバージョンから RHEL 8 への直接移行はサポートされていません。IdM データを適切に更新するには、増分移行を実行する必要があります。

    たとえば、RHEL 6 IdM 環境を RHEL 8 に移行するには、次のコマンドを実行します。

    1. RHEL 6 サーバーから RHEL 7 サーバーに移行します。Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行 を参照してください。
    2. 本セクションで説明されているように、RHEL 7 サーバーから RHEL 8 サーバーに移行します。

このセクションでは、すべての Identity Management (IdM) のデータおよび設定を、RHEL (Red Hat Enterprise Linux) 7 サーバーから RHEL 8 サーバーへ 移行 する方法を説明します。この手順を使用して、RHEL 以外の Linux ディストリビューション上の FreeIPA サーバーから RHEL 8 サーバー上の IdM に移行することもできます。

移行手順には、以下が含まれます。

  1. RHEL 8 IdM サーバーを設定し、現在の RHEL 7 IdM 環境にレプリカとして追加します。詳細は RHEL 8 レプリカのインストール を参照してください。
  2. RHEL 8 サーバーを認証局 (CA) 更新サーバーにする。詳細は RHEL 8 IdM サーバーへの CA 更新サーバーロールの割り当て を参照してください。
  3. RHEL 7 サーバーで証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 8 にリダイレクトする。詳細は RHEL 7 IdM CA サーバーでの CRL 生成の停止 を参照してください。
  4. RHEL 8 サーバーで CRL の生成を開始する。詳細は 新しい RHEL 8 IdM CA サーバーでの CRL 生成の開始 を参照してください。
  5. 元の RHEL 7 CA 更新サーバーを停止して使用を中止する。詳細は RHEL 7 サーバーの停止および使用停止 を参照してください。

手順では、以下を前提としています。

  • rhel8.example.com は、新しい CA 更新サーバーとなる RHEL 8 システムです。
  • rhel7.example.com は、元の RHEL 7 CA 更新サーバーです。マスター CA 更新サーバーである Red Hat Enterprise Linux 7 サーバーを特定するには、任意の IdM サーバーで次のコマンドを実行します。

    [root@rhel7 ~]# ipa config-show | grep "CA renewal"
    IPA CA renewal master: rhel7.example.com

    IdM デプロイメントで認証局 (CA) を使用しない場合、RHEL 7 で実行している IdM サーバーは rhel7.example.com にすることができます。

注記

IdM デプロイメントが組み込み CA を使用する場合に のみ、以下のセクションの手順を完了します。

1.1. RHEL 7 から 8 への IdM の移行の前提条件

rhel7.example.com で、以下を行います。

  1. システムを最新の RHEL 7 バージョンへアップグレードしている。
  2. ドメインのドメインレベルが 1 に設定されていることを確認します。詳細は、RHEL 7 の Linux ドメイン ID、認証、およびポリシーガイドドメインレベルの表示と引き上げ を参照してください。
  3. ipa-* パッケージを最新バージョンへ更新している。

    [root@rhel7 ~]# yum update ipa-*
    警告

    複数の Identity Management (IdM) サーバーをアップグレードする場合は、各アップグレードの間隔は少なくとも 10 分あけてください。

    複数のサーバーで同時または間隔をあまりあけないでアップグレードを行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。

rhel8.example.com で、以下を行います。

  1. 最新バージョンの Red Hat Enterprise Linux がシステムにインストールされている。詳細は 標準的な RHEL 8 インストールの実行 を参照してください。
  2. 時刻サーバー rhel7.example.com が以下と同期していることを確認します。

    [root@rhel7 ~]# ntpstat
    synchronised to NTP server (ntp.example.com) at stratum 3
       time correct to within 42 ms
       polling server every 1024 s
    重要

    RHEL 8 では IdM は独自の時刻サーバーを提供しません。つまり、rhel8.example.com に IdM をインストールしても、ホストに NTP サーバーはインストールされません。したがって、ntp.example.com などの別の NTP サーバーを使用する必要があります。詳細は Migrating to chrony および IdM のタイムサービス要件 を参照してください。

    rhel7.example.com は NTP サーバーロールで使用できますが、移行プロセスの一環としてサーバーの使用を停止します。したがって、rhel8.example.com は、代わりに ntp.example.com と直接同期する必要があります。これは、クライアントのインストールプロセス中に指定できます。

  3. システムが、rhel7.example.com IdM サーバーが権威のあるドメインに登録されている IdM クライアントであることを確認します。詳細は、IdM クライアントのインストール を参照してください。

    重要

    クライアントをインストールするときに、--ntp-server オプションを使用して、前の手順のタイムサーバーを指定します。NTP サーバーのプールを使用している場合は、--ntp-pool オプションを使用します。

    NTP サーバーを手動で指定しない場合は、DNS レコードから自動的に設定されます。これにより、rhel8.example.comrhel7.example.com と同期することになります。これにより、RHEL 7 サーバーが使用できなくなると問題が発生します。

    RHEL8 システムがすでに NTP クライアントとして適切に設定されている場合は、IdM クライアントのインストールを実行するときに --no-ntp オプションを使用できます。

  4. システムが IdM サーバーのインストール要件を満たしていることを確認します。Preparing the system for IdM server installation を参照してください。
  5. システムで IdM レプリカのインストールが許可されていることを確認します。Authorizing the installation of a replica on an IdM client を参照してください。
  6. ipa-* パッケージを最新バージョンへ更新している。

    [root@rhel7 ~]# yum update ipa-*