Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

4.4. Autres considérations et exigences en matière de migration

download PDF

Lorsque vous planifiez une migration d'un serveur LDAP vers la gestion des identités (IdM), assurez-vous que votre environnement LDAP est en mesure de fonctionner avec le script de migration IdM.

4.4.1. Serveurs LDAP pris en charge pour la migration

Le processus de migration d'un serveur LDAP vers IdM utilise un script spécial, ipa migrate-ds, pour effectuer la migration. Ce script a des exigences spécifiques concernant la structure de l'annuaire LDAP et les entrées LDAP. La migration n'est possible que pour les services d'annuaire conformes à LDAPv3, qui comprennent plusieurs annuaires courants :

  • Sun ONE Directory Server
  • Serveur d'annuaire Apache
  • OpenLDAP

La migration d'un serveur LDAP vers IdM a été testée avec Red Hat Directory Server et OpenLDAP.

Note

La migration à l'aide du script de migration est not prise en charge pour Microsoft Active Directory car il ne s'agit pas d'un répertoire conforme à LDAPv3. Pour obtenir de l'aide sur la migration à partir d'Active Directory, contactez les services professionnels de Red Hat.

4.4.2. Exigences de l'environnement LDAP pour la migration

Il existe de nombreux scénarios de configuration possibles pour les serveurs LDAP et pour la gestion des identités (IdM), ce qui influe sur la fluidité du processus de migration. Les exemples de procédures de migration présentés dans ce chapitre reposent sur les hypothèses suivantes concernant l'environnement :

  • Un seul domaine d'annuaire LDAP est en cours de migration vers un domaine IdM. Il n'y a pas de consolidation.
  • Le mot de passe d'un utilisateur est stocké sous forme de hachage dans l'annuaire LDAP. Pour obtenir une liste des hachages pris en charge, consultez la section Password Storage Schemes dans le titre Configuration, Command, and File Reference disponible dans la section Red Hat Directory Server 10 de la documentation de Red Hat Directory Server.
  • L'instance d'annuaire LDAP est à la fois le magasin d'identité et la méthode d'authentification. Les machines clientes sont configurées pour utiliser la bibliothèque pam_ldap ou nss_ldap afin de se connecter au serveur LDAP.
  • Les entrées utilisent uniquement le schéma LDAP standard. Les entrées qui contiennent des classes d'objets ou des attributs personnalisés ne sont pas migrées vers IdM.

  • La commande migrate-ds ne migre que les comptes suivants :

    • Ceux qui contiennent un attribut gidNumber. L'attribut est requis par la classe d'objets posixAccount.
    • Ceux qui contiennent un attribut sn. L'attribut est requis par la classe d'objets person.

4.4.3. Exigences du système IdM pour la migration

Dans le cas d'un annuaire de taille modérée (environ 10 000 utilisateurs et 10 groupes), il est nécessaire de disposer d'un système IdM cible suffisamment puissant pour permettre la migration. Les exigences minimales pour une migration sont les suivantes

  • 4 cœurs
  • 4GB de RAM
  • 30 Go d'espace disque

  • Une taille de tampon SASL de 2MB, qui est la valeur par défaut pour un serveur IdM

    En cas d'erreurs de migration, augmentez la taille de la mémoire tampon : 

    [root@ipaserver ~]# ldapmodify -x -D 'cn=directory manager' -w password -h ipaserver.example.com -p 389

dn: cn=config
changetype: modify
replace: nsslapd-sasl-max-buffer-size
nsslapd-sasl-max-buffer-size: 4194304

modifying entry "cn=config"

    Définir la valeur de nsslapd-sasl-max-buffer-size en octets.

Ressources supplémentaires

4.4.4. Considérations sur les règles sudo

Si vous utilisez sudo avec LDAP, vous devez migrer manuellement les règles sudo stockées dans LDAP vers Identity Management (IdM). Red Hat vous recommande de recréer les groupes de réseau dans IdM en tant que groupes d'hôtes. IdM présente automatiquement les groupes d'hôtes comme des groupes de réseaux traditionnels pour les configurations sudo qui n'utilisent pas le fournisseur SSSD sudo.

4.4.5. Outils de migration de LDAP vers IdM

Identity Management (IdM) utilise une commande spécifique, ipa migrate-ds, pour exécuter le processus de migration afin que les données de l'annuaire LDAP soient correctement formatées et importées dans le serveur IdM. Lors de l'utilisation de ipa migrate-ds, l'utilisateur du système distant, spécifié par l'option --bind-dn, doit avoir un accès en lecture à l'attribut userPassword, sinon les mots de passe ne seront pas migrés.

Le serveur IdM doit être configuré pour fonctionner en mode migration, puis le script de migration peut être utilisé. Pour plus de détails, voir Migration d'un serveur LDAP vers IdM.

4.4.6. Amélioration des performances de la migration de LDAP vers IdM

Une migration LDAP est essentiellement une opération d'importation spécialisée pour l'instance 389 Directory Server (DS) au sein du serveur IdM. L'optimisation de l'instance 389 DS pour améliorer les performances de l'opération d'importation peut contribuer à améliorer les performances globales de la migration.

Deux paramètres influent directement sur les performances des importations :

  • L'attribut nsslapd-cachememsize, qui définit la taille autorisée pour le cache d'entrée. Il s'agit d'une mémoire tampon qui est automatiquement fixée à 80 % de la taille totale de la mémoire cache. Pour les opérations d'importation importantes, vous pouvez augmenter ce paramètre et éventuellement la taille de la mémoire cache elle-même. Cette augmentation améliorera l'efficacité du service d'annuaire dans la gestion d'un grand nombre d'entrées ou d'entrées avec de grands attributs.

    Pour plus d'informations sur la modification de l'attribut à l'aide de la commande dsconf, voir Ajustement de la taille du cache d'entrée.

  • L'option de configuration system ulimit définit le nombre maximal de processus autorisés pour un utilisateur du système. Le traitement d'une base de données volumineuse peut dépasser cette limite. Dans ce cas, augmentez la valeur : 

    [root@server ~]# ulimit -u 4096

Ressources supplémentaires

4.4.7. Séquence de migration de LDAP vers IdM

La migration vers IdM comporte quatre étapes principales, dont l'ordre varie selon que l'on souhaite d'abord migrer le site server ou le site clients.

Important

Les migrations "client d'abord" et "serveur d'abord" fournissent toutes deux une procédure de migration générale, mais elles peuvent ne pas fonctionner dans tous les environnements. Mettez en place un environnement LDAP de test et testez le processus de migration avant d'essayer de migrer l'environnement LDAP réel.

La migration du client d'abord

SSSD est utilisé pour modifier la configuration du client lorsqu'un serveur de gestion d'identité (IdM) est configuré :

  1. Déployer SSSD.
  2. Reconfigurer les clients pour qu'ils se connectent au serveur LDAP actuel et qu'ils basculent ensuite vers IdM.
  3. Installer le serveur IdM.
  4. Migrer les données des utilisateurs à l'aide du script IdM ipa migrate-ds. Ce script exporte les données de l'annuaire LDAP, les formate pour le schéma IdM, puis les importe dans IdM.
  5. Mettre le serveur LDAP hors ligne et permettre aux clients de basculer vers IdM de manière transparente.
Migration vers le serveur d'abord

La migration de LDAP vers IdM vient en premier :

  1. Installer le serveur IdM.
  2. Migrer les données des utilisateurs à l'aide du script IdM ipa migrate-ds. Ce script exporte les données de l'annuaire LDAP, les formate pour le schéma IdM, puis les importe dans IdM.
  3. Optional. Déployer SSSD.

  4. Reconfigurer les clients pour qu'ils se connectent à IdM. Il n'est pas possible de remplacer simplement le serveur LDAP. L'arborescence de l'IdM - et donc les DN d'entrée des utilisateurs - est différente de l'arborescence précédente.

    Bien qu'il soit nécessaire de reconfigurer les clients, il n'est pas nécessaire de le faire immédiatement. Les clients mis à jour peuvent pointer vers le serveur IdM tandis que d'autres clients pointent vers l'ancien répertoire LDAP, ce qui permet une phase de test et de transition raisonnable après la migration des données.

    Note

    Ne pas faire fonctionner en parallèle un service d'annuaire LDAP et le serveur IdM pendant très longtemps. En effet, les données des utilisateurs risquent de devenir incohérentes entre les deux services.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.