第 3 章 从非 RHEL Linux 发行版上的 FreeIPA 迁移到 RHEL 9 上的 IdM
要将非 RHEL Linux 发行版上的 FreeIPA 部署迁移到 RHEL 9 服务器上的身份管理(IdM)部署,您必须首先将新的 RHEL 9 IdM 证书颁发机构(CA)副本添加到现有的 FreeIPA 环境中,将与证书相关的角色传给它,然后停用非 RHEL FreeIPA 服务器。
不支持使用 Convert2RHEL 工具执行非 RHEL FreeIPA 服务器到 RHEL 9 IdM 服务器的原位升级。
因为 SHA-1 算法的使用在 RHEL 9 中的 DEFAULT 系统范围加密策略中被禁用了 ,所以如果 RHEL 9 系统在同一 IdM 部署中被用作非 RHEL-9 系统,则可能会出现多个已知问题。详情请查看:
将 IdM 副本升级到 RHEL 9.2 后,IdM Kerberos 分发中心(KDC)可能无法向没有为其分配安全标识符(SID)的用户发出票据授予票据(TGT)。因此,用户无法登录到其帐户。
要临时解决这个问题,请通过在拓扑中的另一个 IdM 副本上以 IdM 管理员身份运行 evince ipa config-mod --enable-sid --add-sids 来生成 SID。之后,如果用户仍然无法登录,请检查目录服务器错误日志。您可能需要调整 ID 范围使其包含用户 POSIX 身份。
先决条件
在 RHEL 9 系统上:
- 在系统上已安装了最新版本的Red Hat Enterprise Linux。如需更多信息,请参阅 执行标准的 RHEL 9 安装。
- 确保系统是注册到 FreeIPA 服务器授权的域的 IdM 客户端。如需更多信息,请参阅安装 IdM 客户端:基本场景 。
- 确定系统满足 IdM 服务器安装的要求。请参阅为 IdM 服务器安装准备系统。
- 确定系统已授权安装 IdM 副本。请参阅授权 IdM 客户端中的副本安装。
在非 RHEL FreeIPA 服务器上:
确定您知道系统与之同步的时间服务器:
[root@freeipaserver ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 s
将 ipa-* 软件包更新至其最新版本:
[root@freeipaserver ~]# dnf update ipa-*
步骤
要执行迁移,请按照 将 IdM 环境从 RHEL 8 服务器迁移到 RHEL 9 服务器 中的步骤进行操作,使用您的非 RHEL FreeIPA CA 副本作为 RHEL 8 服务器:
- 配置 RHEL 9 服务器,并将其作为 IdM 副本添加到非 RHEL Linux 发行版的当前 FreeIPA 环境中。详情请参阅安装 RHEL 9 副本。
- 使 RHEL 9 复制证书颁发机构(CA)续订服务器。详情请参阅 将 CA 续订服务器角色分配给 RHEL 9 IdM 服务器。
- 在非 RHEL 服务器上停止生成证书撤销列表(CRL),并将 CRL 请求重定向到 RHEL 9 副本。详情请参阅在 RHEL 8 IdM CA 服务器中停止 CRL 生成。
- 在 RHEL 9 服务器上开始生成 CRL。详情请参阅在新的 RHEL 9 IdM CA 服务器中启动 CRL 生成。
- 停止并弃用原来的非 RHEL FreeIPA CA 续订服务器。详情请参阅停止和弃用 RHEL 8 服务器。