4.6. LDAP 서버를 IdM으로 마이그레이션

ipa migrate-ds 명령을 사용하여 LDAP 서버에서 IdM(Identity Management)으로 인증 및 권한 부여 서비스를 마이그레이션할 수 있습니다.

주의

이는 모든 환경에서 작동하지 않을 수 있는 일반적인 마이그레이션 절차입니다.

실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 환경을 테스트할 때 다음을 수행합니다.

  1. IdM에서 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다.
  2. 원래 LDAP 서버에 표시된 것처럼 마이그레이션된 사용자의 출력을 소스 사용자와 비교합니다.

자세한 내용은 아래의 확인 섹션을 참조하십시오.

사전 요구 사항

절차

  1. IdM이 아직 설치되지 않은 경우 사용자 정의 LDAP 디렉터리 스키마를 포함하여 IdM 서버를 설치합니다. 기존 LDAP 디렉터리가 설치된 것과 다른 시스템에 사용자 지정 LDAP 디렉터리 스키마를 포함합니다. 자세한 내용은 Identity Management 설치를 참조하십시오.

    참고

    사용자 지정 사용자 또는 그룹 스키마는 IdM에서 지원이 제한됩니다. 호환되지 않는 오브젝트 정의로 인해 마이그레이션 중에 문제가 발생할 수 있습니다.

  2. 성능상의 이유로 compat 플러그인을 비활성화합니다. 

    # ipa-compat-manage disable

    스키마 호환성 기능 및 마이그레이션을 위해 비활성화할 때의 이점에 대한 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 사용할 스키마 및 스키마 호환성 기능을 참조하십시오.

  3. IdM Directory Server 인스턴스를 다시 시작합니다. 

    # systemctl restart dirsrv.target

  4. 마이그레이션을 허용하도록 IdM 서버를 구성합니다. 

    # ipa config-mod --enable-migration=TRUE

    --enable-migration 을 TRUE로 설정하면 다음을 수행합니다.

  5. 사용 사례에 맞는 옵션을 사용하여 IdM 마이그레이션 스크립트 ipa migrate-ds. 자세한 내용은 LDAP에서 IdM으로 마이그레이션 사용자 지정을 참조하십시오. 

    # ipa migrate-ds --your-options ldap://ldap.example.com:389
    참고

    이전 단계 중 하나에서 compat 플러그인을 비활성화하지 않은 경우 ipa migrate-ds--with-compat 옵션을 추가합니다. 

    # ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389

  6. compat 플러그인을 다시 활성화합니다. 

    # ipa-compat-manage enable

  7. IdM 디렉터리 서버를 다시 시작하십시오. 

    # systemctl restart dirsrv.target

  8. 모든 사용자가 암호를 마이그레이션한 경우 마이그레이션 모드를 비활성화합니다. 

    # ipa config-mod --enable-migration=FALSE
  9. [선택 사항] 모든 사용자를 마이그레이션하고 비SSSD 클라이언트를 재구성하여 Kerberos 인증을 사용하도록 재구성합니다. 즉, LDAP 인증 대신 pam_ krb5 입니다. 자세한 내용은 RHEL 7 시스템 수준 인증 가이드Kerberos 클라이언트 구성을 참조하십시오.

  10. 사용자가 해시된 Kerberos 암호를 생성하도록 합니다. LDAP에서 IdM으로 마이그레이션할 때 계획 암호 마이그레이션에 설명된 방법 중 하나를 선택합니다.

    • SSSD 방법을 결정하는 경우 :

      • SSSD가 LDAP 디렉터리에서 IdM 디렉터리로 설치된 클라이언트를 이동하고 IdM에 클라이언트로 등록합니다. 이렇게 하면 필요한 키와 인증서가 다운로드됩니다.

        Red Hat Enterprise Linux 클라이언트에서 ipa-client-install 명령을 사용하여 이 작업을 수행할 수 있습니다. 예를 들면 다음과 같습니다. 

        # ipa-client-install --enable-dns-update

    • IdM 마이그레이션 웹 페이지 방법을 결정하는 경우:

      • 마이그레이션 웹 페이지를 사용하여 IdM에 로그인하도록 사용자에게 지시합니다. 

        https://ipaserver.example.com/ipa/migration

  11. 사용자 마이그레이션 프로세스를 모니터링하려면 기존 LDAP 디렉터리를 쿼리하여 암호가 있지만 Kerberos 보안 키가 없는 사용자 계정을 확인합니다. 

    $ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid
    참고

    쉘에서 해석하지 않도록 필터 주변의 작은따옴표를 포함합니다.

  12. 모든 클라이언트 및 사용자의 마이그레이션이 완료되면 LDAP 디렉토리를 제거하십시오.

검증

  1. ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성합니다. 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스가 포함되어 있는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ ipa user-show --all testing_user
dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
User login: testing_user
First name: testing
Last name: user
Full name: testing user
Display name: testing user
Initials: tu
Home directory: /home/testing_user
GECOS: testing user
Login shell: /bin/sh
Principal name: testing_user@IDM.EXAMPLE.COM
Principal alias: testing_user@IDM.EXAMPLE.COM
Email address: testing_user@idm.example.com
UID: 1689700012
GID: 1689700012
Account disabled: False
Preserved user: False
Password: False
Member of groups: ipausers
Kerberos keys available: False
ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
             ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry
  2. 원래 LDAP 서버에 표시된 것처럼 마이그레이션된 사용자의 출력을 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.

추가 리소스