1장. RHEL 7 서버에서 RHEL 8 서버로 IdM 환경 마이그레이션

RHEL 7 IdM 환경을 RHEL 8로 업그레이드하려면 먼저 RHEL 7 IdM 환경에 새 RHEL 8 IdM 복제본을 추가한 다음 RHEL 7 서버를 폐기해야 합니다.

주의
  • RHEL 7 IdM 서버를 RHEL 8으로의 전체 업그레이드는 지원되지 않습니다.

  • RHEL 6 또는 이전 버전에서 RHEL 8로 직접 마이그레이션하는 것은 지원되지 않습니다. IdM 데이터를 올바르게 업데이트하려면 증분 마이그레이션을 수행해야 합니다.

    예를 들어 RHEL 6 IdM 환경을 RHEL 8로 마이그레이션하려면 다음을 수행합니다.

    1. RHEL 6 서버에서 RHEL 7 서버로 마이그레이션합니다. Red Hat Enterprise Linux 6에서 버전 7로 Identity Management 마이그레이션을 참조하십시오.
    2. 이 섹션에 설명된 대로 RHEL 7 서버에서 RHEL 8 서버로 마이그레이션합니다.
중요

RHEL 8은 SPAKE 및 IdP 사전 인증을 지원하지만 RHEL 7은 지원하지 않습니다. RHEL 7 IdM 배포에서 SPAKE 또는 IdP가 활성화된 RHEL 8 서버가 있으면 로그인할 수 없는 사용자와 같은 문제가 발생할 수 있습니다.

Red Hat은 IdM 배포의 모든 서버를 가능한 한 빨리 마이그레이션하고 이전 시스템을 오랜 기간 가동하지 않아야 한다는 것을 강력히 권장합니다.

자세한 내용은 다음을 참조하십시오.

다음 절차에서는 RHEL(Red Hat Enterprise Linux) 7 서버에서 RHEL 8 서버로 모든 IdM(Identity Management) 데이터 및 구성을 마이그레이션하는 방법을 설명합니다. 이 절차를 사용하여 RHEL이 아닌 Linux 배포판의 FreeIPA 서버에서 RHEL 8 서버의 IdM으로 마이그레이션할 수도 있습니다.

마이그레이션 절차에는 다음이 포함됩니다.

  1. RHEL 8 IdM 서버를 구성하고 현재 RHEL 7 IdM 환경에 복제본으로 추가합니다. 자세한 내용은 RHEL 8 Replica 설치를 참조하십시오.
  2. RHEL 8 서버를 CA(인증 기관) 갱신 서버로 설정합니다. 자세한 내용은 RHEL 8 IdM 서버에 CA 갱신 서버 역할 할당을 참조하십시오.
  3. RHEL 7 서버에서 CRL(인증서 취소 목록) 생성을 중지하고 CRL 요청을 RHEL 8로 리디렉션합니다. 자세한 내용은 RHEL 7 IdM CA 서버에서 CRL 생성 중지 를 참조하십시오.
  4. RHEL 8 서버에서 CRL 생성을 시작합니다. 자세한 내용은 새로운 RHEL 8 IdM CA 서버에서 CRL 생성 시작을 참조하십시오.
  5. 원본 RHEL 7 CA 업데이트 서버 중지 및 해제. 자세한 내용은 RHEL 7 서버 중지 및 해제를 참조하십시오.

다음 절차에서는 다음을 수행합니다.

  • rhel8.example.com 은 새 CA 갱신 서버가 될 RHEL 8 시스템입니다.

  • rhel7.example.com 은 원래 RHEL 7 CA 갱신 서버입니다. CA 갱신 서버인 Red Hat Enterprise Linux 7 서버를 식별하려면 IdM 서버에서 다음 명령을 실행합니다. 

    [root@rhel7 ~]# ipa config-show | grep "CA renewal"
IPA CA renewal master: rhel7.example.com

    IdM 배포에서 CA(인증 기관)를 사용하지 않는 경우 RHEL 7에서 실행 중인 모든 IdM 서버는 rhel7.example.com 일 수 있습니다.

참고

IdM 배포에서 포함된 CA를 사용하는 경우에만 다음 섹션의 단계를 완료합니다.

1.1. RHEL 7에서 8로 IdM을 마이그레이션하기 위한 사전 요구 사항

rhel7.example.com 에서 다음을 수행합니다.

  1. 시스템을 최신 RHEL 7 버전으로 업그레이드합니다.
  2. 도메인의 도메인 수준이 1로 설정되어 있는지 확인합니다. 자세한 내용은 RHEL 7 Linux 도메인 ID, 인증 및 정책 가이드의 도메인 수준 표시 상승을 참조하십시오.

  3. ipa-* 패키지를 최신 버전으로 업데이트합니다. 

    [root@rhel7 ~]# yum update ipa-*
    주의

    IdM(Identity Management) 서버를 여러 개 업그레이드하는 경우 각 업그레이드 사이에 최소 10분 정도 기다립니다.

    두 개 이상의 서버를 동시에 업그레이드하거나 업그레이드 간의 짧은 간격만 사용하여 토폴로지 전체에서 업그레이드 후 데이터 변경 사항을 복제하는 데 시간이 충분하지 않으므로 복제 이벤트가 충돌할 수 있습니다.

rhel8.example.com 에서 다음을 수행합니다.

  1. 최신 버전의 Red Hat Enterprise Linux가 시스템에 설치되어 있습니다. 자세한 내용은 표준 RHEL 8 설치 수행을 참조하십시오.

  2. 시간 서버 rhel7.example.com 이 동기화되었는지 확인합니다. 

    [root@rhel7 ~]# ntpstat
synchronised to NTP server (ntp.example.com) at stratum 3
   time correct to within 42 ms
   polling server every 1024 s
    중요

    RHEL 8에서는 IdM이 자체 시간 서버를 제공하지 않습니다. rhel8.example.com 에 IdM을 설치하면 호스트에 NTP 서버가 설치되지 않습니다. 따라서 별도의 NTP 서버(예: ntp.example.com )를 사용해야 합니다. 자세한 내용은 IdM의 chrony 및 시간 서비스 요구 사항으로 마이그레이션 을 참조하십시오.

    rhel7.example.com 을 NTP 서버 역할에서 사용할 수 있지만 마이그레이션 프로세스의 일부로 서버를 해제할 수 있습니다. 따라서 rhel8.example.com 을 대신 ntp.example.com 과 직접 동기화해야 합니다. 클라이언트 설치 프로세스 중에 이를 지정할 수 있습니다.

  3. 시스템이 rhel7.example.com IdM 서버에 권한이 있는 도메인에 등록된 IdM 클라이언트인지 확인합니다. 자세한 내용은 IdM 클라이언트 설치를 참조하십시오.

    중요

    클라이언트를 설치할 때 --ntp-server 옵션을 사용하여 이전 단계의 시간 서버를 지정합니다. NTP 서버 풀을 사용하는 경우 --ntp-pool 옵션을 사용합니다.

    NTP 서버를 수동으로 지정하지 않으면 DNS 레코드에서 자동으로 설정됩니다. 이로 인해 rhel8.example.comrhel7.example.com 과 동기화될 수 있습니다. 이로 인해 RHEL 7 서버가 해제될 때 문제가 발생합니다.

    RHEL8 시스템이 이미 NTP 클라이언트로 올바르게 구성된 경우 IdM 클라이언트 설치를 수행할 때 --no-ntp 옵션을 사용할 수 있습니다.

  4. 시스템이 IdM 서버 설치에 대한 요구 사항을 충족하는지 확인합니다. IdM 서버 설치 준비를 참조하십시오.
  5. IdM 복제본 설치에 대해 시스템이 승인되었는지 확인합니다. IdM 클라이언트의 복제본 설치 인증을 참조하십시오.

  6. ipa-* 패키지를 최신 버전으로 업데이트합니다. 

    [root@rhel7 ~]# yum update ipa-*

추가 리소스