Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

39.2. ipa migrate-ds사용 예

데이터 마이그레이션은 ipa migrate-ds 명령을 사용하여 수행됩니다. 가장 간단하게 명령은 디렉터리의 LDAP URL을 사용하여 일반적인 기본 설정에 따라 데이터를 마이그레이션하고 내보냅니다. 
ipa migrate-ds ldap://ldap.example.com:389
마이그레이션된 항목
migrate-ds 명령은 posixAccount 오브젝트 클래스에 필요한 gidNumber 속성과 person 오브젝트 클래스에 필요한 sn 속성만 포함하는 계정을 마이그레이션합니다.
프로세스 사용자 정의
ipa migrate-ds 명령을 사용하면 데이터를 식별하고 내보내는 방법을 사용자 지정할 수 있습니다. 이 기능은 원래 디렉터리 트리에 고유한 구조가 있거나 항목 내 일부 항목 또는 속성을 제외해야 하는 경우 유용합니다. 자세한 내용은 명령에 --help 를 전달합니다.
DN 바인딩
기본적으로 DN "cn=Directory Manager"는 원격 LDAP 디렉터리에 바인딩하는 데 사용됩니다. 명령에 --bind-dn 옵션을 전달하여 사용자 정의 바인딩 DN을 지정합니다. 자세한 내용은 39.1.3.5절. “마이그레이션 툴” 의 내용을 참조하십시오.
컨텍스트 변경 이름 지정
Directory Server 이름 지정 컨텍스트가 ID 관리에 사용된 컨텍스트와 다른 경우 개체의 기본 DN이 변환됩니다. 예: uid=user,ou=people,dc=ldap,dc=example,dc=comuid=사용자,ou=people,dc=idm,dc=example,dc=com. --base-dnipa migrate-ds 명령에 전달하여 마이그레이션을 위해 원격 LDAP 서버에서 사용된 기본 DN을 설정합니다.

39.2.1. 특정 하위 트리 마이그레이션

기본 디렉터리 구조는 ou=People 하위 트리에 사람 항목을 배치하고 ou=Groups 하위 트리에 그룹 항목을 배치합니다. 이러한 하위 트리는 다양한 유형의 디렉터리 데이터를 위한 컨테이너 항목입니다. migrate-ds 명령과 함께 옵션을 전달하지 않으면 유틸리티는 지정된 LDAP 디렉터리가 ou=Peopleou=Groups 구조를 사용하도록 가정합니다.
대부분의 배포에는 완전히 다른 디렉터리 구조가 있을 수 있습니다(또는 디렉토리 트리의 특정 부분만 내보내려는 경우). 관리자가 소스 LDAP 서버에서 다른 사용자 또는 그룹 하위 트리의 RDN을 지정할 수 있는 두 가지 옵션이 있습니다.
  • --user-container
  • --group-container
참고
두 경우 모두 하위 트리는 RDN이어야 하며 기본 DN과 관련되어야 합니다. 예를 들어 > ou=ECDHEs,dc=example,dc=com 디렉터리 트리는 --user-container=ou=knatives 를 사용하여 마이그레이션할 수 있습니다.
예를 들어 다음과 같습니다. 
[root@ipaserver ~]# ipa migrate-ds --user-container=ou=employees \
                        --group-container="ou=employee groups" \
			ldap://ldap.example.com:389
ipa migrate-ds 명령에 --scope 옵션을 전달하여 범위를 설정합니다.
  • 한 수준: 기본값. 지정된 컨테이너의 항목만 마이그레이션됩니다.
  • subtree: 지정된 컨테이너 및 모든 하위 컨테이너의 항목이 마이그레이션됩니다.
  • base: 지정된 오브젝트 자체만 마이그레이션됩니다.

39.2.2. 특히 포함 또는 제외 항목

기본적으로 ipa migrate-ds 스크립트는 person 개체 클래스와 groupOfUniqueNames 또는 groupOfNames 오브젝트 클래스를 사용하여 모든 사용자 항목을 가져옵니다.
일부 마이그레이션 경로에서는 특정 유형의 사용자와 그룹만 내보내야 하거나 반대로 특정 사용자와 그룹만 제외해야 할 수 있습니다.
한 가지 옵션은 포함할 사용자 및 그룹 유형을 독점적으로 설정하는 것입니다. 이 작업은 사용자 또는 그룹 항목을 찾을 때 검색할 오브젝트 클래스를 설정하여 수행됩니다.
이 옵션은 다양한 사용자 유형의 환경에 사용자 지정 개체 클래스를 사용하는 경우 매우 유용합니다. 예를 들어 사용자 정의 fullTime >-< 개체 클래스가 있는 사용자만 마이그레이션합니다. 
[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee ldap://ldap.example.com:389
다양한 유형의 그룹 때문에 인증서 그룹과 같은 다른 유형의 그룹을 제외하고 특정 유형의 그룹(예: 사용자 그룹)만 마이그레이션하는 데도 매우 유용합니다. 예를 들어 다음과 같습니다. 
[root@ipaserver ~]# ipa migrate-ds --group-objectclass=groupOfNames --group-objectclass=groupOfUniqueNames ldap://ldap.example.com:389
오브젝트 클래스를 기반으로 마이그레이션할 사용자 및 그룹을 적극적으로 지정하여 다른 모든 사용자 및 그룹을 마이그레이션에서 암시적으로 제외합니다.
또는 소수의 항목만 제외하고 모든 사용자와 그룹 항목을 마이그레이션하는 것이 유용할 수 있습니다. 해당 유형의 다른 모든 항목은 마이그레이션하는 동안 특정 사용자 또는 그룹 계정을 제외할 수 있습니다. 예를 들어, 한 개의 그룹과 두 명의 사용자를 제외합니다. 
[root@ipaserver ~]# ipa migrate-ds --exclude-groups="Golfers Group" --exclude-users=jsmith --exclude-users=bjensen ldap://ldap.example.com:389
exclude 명령문은 uid 의 패턴과 일치하는 사용자와 cn 속성에서 일치하는 그룹에 적용됩니다.
마이그레이션할 오브젝트 클래스를 지정하는 것은 특정 항목을 제외하고 함께 사용할 수 있습니다. 예를 들어, 여기에는 특히 fullTime >-< 개체 클래스를 가진 사용자가 포함되지만 3명의 관리자를 제외합니다. 
[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee --exclude-users=jsmith --exclude-users=bjensen --exclude-users=mreynolds ldap://ldap.example.com:389

39.2.3. Entry Attributes 제외

기본적으로 사용자 또는 그룹 항목의 모든 특성 및 개체 클래스가 마이그레이션됩니다. 대역폭 및 네트워크 제약 조건으로 인해 또는 특성 데이터가 더 이상 관련이 없기 때문에 이러한 경우가 있습니다. 예를 들어, 사용자에게 IdM 도메인에 참여할 때 새 사용자 인증서가 할당되는 경우 userCertificate 특성을 마이그레이션할 이유가 없습니다.
migrate-ds 에서는 다음과 같은 여러 옵션을 사용하여 특정 오브젝트 클래스 및 속성을 무시할 수 있습니다.
  • --user-ignore-objectclass
  • --user-ignore-attribute
  • --group-ignore-objectclass
  • --group-ignore-attribute
예를 들어 사용자에 대한 userCertificate 속성 및 strongAuthenticationUser 개체 클래스를 제외하고 그룹에 대해 groupOfCertificates 오브젝트 클래스를 제외하려면 다음을 실행합니다. 
[root@ipaserver ~]# ipa migrate-ds --user-ignore-attribute=userCertificate --user-ignore-objectclass=strongAuthenticationUser --group-ignore-objectclass=groupOfCertificates ldap://ldap.example.com:389
참고
필수 속성을 무시하지 않도록 하십시오. 또한 개체 클래스를 제외할 때 해당 개체 클래스에서만 지원되는 속성을 제외해야 합니다.

39.2.4. 사용할 스키마 설정

ID 관리에서는 RFC2307bis 스키마를 사용하여 사용자, 호스트, 호스트 그룹 및 기타 네트워크 ID를 정의합니다. 그러나 마이그레이션 소스로 사용된 LDAP 서버가 RFC2307 스키마를 대신 사용하는 경우 --schema 옵션을 ipa migrate-ds 명령에 전달합니다. 
[root@ipaserver ~]# ipa migrate-ds --schema=RFC2307 ldap://ldap.example.com:389