1장. RHEL 7 서버에서 RHEL 8 서버로 IdM 환경 마이그레이션
RHEL 7 IdM 환경을 RHEL 8로 업그레이드하려면 먼저 RHEL 7 IdM 환경에 새 RHEL 8 IdM 복제본을 추가한 다음 RHEL 7 서버를 폐기해야 합니다.
- RHEL 7 IdM 서버를 RHEL 8으로의 전체 업그레이드는 지원되지 않습니다.
RHEL 6 또는 이전 버전에서 RHEL 8로 직접 마이그레이션하는 것은 지원되지 않습니다. IdM 데이터를 올바르게 업데이트하려면 증분 마이그레이션을 수행해야 합니다.
예를 들어 RHEL 6 IdM 환경을 RHEL 8로 마이그레이션하려면 다음을 수행합니다.
- RHEL 6 서버에서 RHEL 7 서버로 마이그레이션합니다. Red Hat Enterprise Linux 6에서 버전 7로 Identity Management 마이그레이션을 참조하십시오.
- 이 섹션에 설명된 대로 RHEL 7 서버에서 RHEL 8 서버로 마이그레이션합니다.
RHEL 8은 SPAKE 및 IdP 사전 인증을 지원하지만 RHEL 7은 지원하지 않습니다. RHEL 7 IdM 배포에서 SPAKE 또는 IdP가 활성화된 RHEL 8 서버가 있으면 로그인할 수 없는 사용자와 같은 문제가 발생할 수 있습니다.
Red Hat은 IdM 배포의 모든 서버를 가능한 한 빨리 마이그레이션하고 이전 시스템을 오랜 기간 가동하지 않아야 한다는 것을 강력히 권장합니다.
자세한 내용은 다음을 참조하십시오.
다음 절차에서는 RHEL(Red Hat Enterprise Linux) 7 서버에서 RHEL 8 서버로 모든 IdM(Identity Management) 데이터 및 구성을 마이그레이션하는 방법을 설명합니다. 이 절차를 사용하여 RHEL이 아닌 Linux 배포판의 FreeIPA 서버에서 RHEL 8 서버의 IdM으로 마이그레이션할 수도 있습니다.
마이그레이션 절차에는 다음이 포함됩니다.
- RHEL 8 IdM 서버를 구성하고 현재 RHEL 7 IdM 환경에 복제본으로 추가합니다. 자세한 내용은 RHEL 8 Replica 설치를 참조하십시오.
- RHEL 8 서버를 CA(인증 기관) 갱신 서버로 설정합니다. 자세한 내용은 RHEL 8 IdM 서버에 CA 갱신 서버 역할 할당을 참조하십시오.
- RHEL 7 서버에서 CRL(인증서 취소 목록) 생성을 중지하고 CRL 요청을 RHEL 8로 리디렉션합니다. 자세한 내용은 RHEL 7 IdM CA 서버에서 CRL 생성 중지 를 참조하십시오.
- RHEL 8 서버에서 CRL 생성을 시작합니다. 자세한 내용은 새로운 RHEL 8 IdM CA 서버에서 CRL 생성 시작을 참조하십시오.
- 원본 RHEL 7 CA 업데이트 서버 중지 및 해제. 자세한 내용은 RHEL 7 서버 중지 및 해제를 참조하십시오.
다음 절차에서는 다음을 수행합니다.
-
rhel8.example.com
은 새 CA 갱신 서버가 될 RHEL 8 시스템입니다. rhel7.example.com
은 원래 RHEL 7 CA 갱신 서버입니다. CA 갱신 서버인 Red Hat Enterprise Linux 7 서버를 식별하려면 IdM 서버에서 다음 명령을 실행합니다.[root@rhel7 ~]# ipa config-show | grep "CA renewal" IPA CA renewal master: rhel7.example.com
IdM 배포에서 CA(인증 기관)를 사용하지 않는 경우 RHEL 7에서 실행 중인 모든 IdM 서버는
rhel7.example.com
일 수 있습니다.
IdM 배포에서 포함된 CA를 사용하는 경우에만 다음 섹션의 단계를 완료합니다.
1.1. RHEL 7에서 8로 IdM을 마이그레이션하기 위한 사전 요구 사항
rhel7.example.com
에서 다음을 수행합니다.
- 시스템을 최신 RHEL 7 버전으로 업그레이드합니다.
- 도메인의 도메인 수준이 1로 설정되어 있는지 확인합니다. 자세한 내용은 RHEL 7 의 Linux 도메인 ID, 인증 및 정책 가이드의 도메인 수준 표시 및 상승을 참조하십시오.
ipa-* 패키지를 최신 버전으로 업데이트합니다.
[root@rhel7 ~]# yum update ipa-*
주의IdM(Identity Management) 서버를 여러 개 업그레이드하는 경우 각 업그레이드 사이에 최소 10분 정도 기다립니다.
두 개 이상의 서버를 동시에 업그레이드하거나 업그레이드 간의 짧은 간격만 사용하여 토폴로지 전체에서 업그레이드 후 데이터 변경 사항을 복제하는 데 시간이 충분하지 않으므로 복제 이벤트가 충돌할 수 있습니다.
rhel8.example.com
에서 다음을 수행합니다.
- 최신 버전의 Red Hat Enterprise Linux가 시스템에 설치되어 있습니다. 자세한 내용은 표준 RHEL 8 설치 수행을 참조하십시오.
시간 서버
rhel7.example.com
이 동기화되었는지 확인합니다.[root@rhel7 ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 s
중요RHEL 8에서는 IdM이 자체 시간 서버를 제공하지 않습니다.
rhel8.example.com
에 IdM을 설치하면 호스트에 NTP 서버가 설치되지 않습니다. 따라서 별도의 NTP 서버(예:ntp.example.com
)를 사용해야 합니다. 자세한 내용은 IdM의 chrony 및 시간 서비스 요구 사항으로 마이그레이션 을 참조하십시오.rhel7.example.com
을 NTP 서버 역할에서 사용할 수 있지만 마이그레이션 프로세스의 일부로 서버를 해제할 수 있습니다. 따라서rhel8.example.com
을 대신ntp.example.com
과 직접 동기화해야 합니다. 클라이언트 설치 프로세스 중에 이를 지정할 수 있습니다.시스템이
rhel7.example.com
IdM 서버에 권한이 있는 도메인에 등록된 IdM 클라이언트인지 확인합니다. 자세한 내용은 IdM 클라이언트 설치를 참조하십시오.중요클라이언트를 설치할 때
--ntp-server
옵션을 사용하여 이전 단계의 시간 서버를 지정합니다. NTP 서버 풀을 사용하는 경우--ntp-pool
옵션을 사용합니다.NTP 서버를 수동으로 지정하지 않으면 DNS 레코드에서 자동으로 설정됩니다. 이로 인해
rhel8.example.com
이rhel7.example.com
과 동기화될 수 있습니다. 이로 인해 RHEL 7 서버가 해제될 때 문제가 발생합니다.RHEL8 시스템이 이미 NTP 클라이언트로 올바르게 구성된 경우 IdM 클라이언트 설치를 수행할 때
--no-ntp
옵션을 사용할 수 있습니다.- 시스템이 IdM 서버 설치에 대한 요구 사항을 충족하는지 확인합니다. IdM 서버 설치 준비를 참조하십시오.
- IdM 복제본 설치에 대해 시스템이 승인되었는지 확인합니다. IdM 클라이언트의 복제본 설치 인증을 참조하십시오.
ipa-* 패키지를 최신 버전으로 업데이트합니다.
[root@rhel7 ~]# yum update ipa-*