4.6. Migration d'un serveur LDAP vers IdM

Procédure

1. Si IdM n'est pas encore installé : installez le serveur IdM, y compris tout schéma de répertoire LDAP personnalisé, sur une machine différente de celle sur laquelle le répertoire LDAP existant est installé. Pour plus de détails, voir Installation de la gestion des identités.

   Note

   Les schémas d'utilisateurs ou de groupes personnalisés sont peu pris en charge par IdM. Ils peuvent poser des problèmes lors de la migration en raison de l'incompatibilité des définitions d'objets.

2. Pour des raisons de performance, désactivez le plug-in compat :

   # ipa-compat-manage disable

   Pour plus d'informations sur la fonction de comparaison des schémas et sur les avantages qu'il y a à la désactiver pour la migration, voir Le schéma à utiliser lors de la migration de LDAP vers IdM et la fonction de comparaison des schémas.

3. Redémarrer l'instance d'IdM Directory Server :

   # systemctl restart dirsrv.target

4. Configurer le serveur IdM pour permettre la migration :

   # ipa config-mod --enable-migration=TRUE

   En attribuant à --enable-migration la valeur TRUE, vous effectuez les opérations suivantes :

   • Autoriser les mots de passe pré-hachés lors d'une opération d'ajout LDAP.
   • Configurez SSSD pour qu'il essaie la séquence de migration des mots de passe si l'authentification Kerberos initiale échoue. Pour plus d'informations, voir la section Flux de travail dans Utilisation de SSSD lors de la migration des mots de passe de LDAP vers IdM.

5. Exécutez le script de migration IdM, ipa migrate-ds, avec les options correspondant à votre cas d'utilisation. Pour plus d'informations, voir Personnaliser la migration de LDAP vers IdM.

   # ipa migrate-ds --your-options ldap://ldap.example.com:389

   Note

   Si vous n'avez pas désactivé le plug-in compat dans l'une des étapes précédentes, ajoutez l'option --with-compat à ipa migrate-ds:

   # ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389

6. Réactiver le plug-in compat :

   # ipa-compat-manage enable

7. Redémarrer le serveur d'annuaire IdM :

   # systemctl restart dirsrv.target

8. Lorsque les mots de passe de tous les utilisateurs ont été migrés, désactivez le mode de migration :

   # ipa config-mod --enable-migration=FALSE

9. [Facultatif] Lorsque tous les utilisateurs ont été migrés, reconfigurez les clients non-SSSD pour qu'ils utilisent l'authentification Kerberos, c'est-à-dire pam_krb5, au lieu de l'authentification LDAP, c'est-à-dire pam_ldap. Pour plus d'informations, voir Configuration d'un client Kerberos dans RHEL 7 System-level Authentication Guide.

10. Demandez aux utilisateurs de générer leurs mots de passe Kerberos hachés. Choisissez l'une des méthodes décrites dans la section Planification de la migration des mots de passe lors de la migration de LDAP vers IdM.

    • Si vous optez pour la méthode SSSD :

      • Déplacez les clients qui ont installé SSSD de l'annuaire LDAP vers l'annuaire IdM et inscrivez-les en tant que clients avec IdM. Cette opération permet de télécharger les clés et les certificats nécessaires.

        Sur les clients Red Hat Enterprise Linux, vous pouvez le faire en utilisant la commande ipa-client-install. Par exemple :

        # ipa-client-install --enable-dns-update

    • Si vous optez pour la méthode de la page web de migration IdM:

      • Demander aux utilisateurs de se connecter à l'IdM en utilisant la page web de migration :

        https://ipaserver.example.com/ipa/migration

11. Pour surveiller le processus de migration des utilisateurs, interrogez l'annuaire LDAP existant pour voir quels comptes d'utilisateurs ont un mot de passe mais n'ont pas encore de clé principale Kerberos.

    $ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid

    Note

    Inclure les guillemets simples autour du filtre afin qu'il ne soit pas interprété par l'interpréteur de commandes.

12. Lorsque la migration de tous les clients et utilisateurs est terminée, désactivez l'annuaire LDAP.

Vérification

1. Créez un utilisateur test dans IdM en utilisant la commande ipa user-add. Comparez les résultats des utilisateurs migrés à ceux de l'utilisateur test. Assurez-vous que les utilisateurs migrés contiennent l'ensemble minimal d'attributs et de classes d'objets présents sur l'utilisateur test. Par exemple :

   $ ipa user-show --all testing_user
   dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
   User login: testing_user
   First name: testing
   Last name: user
   Full name: testing user
   Display name: testing user
   Initials: tu
   Home directory: /home/testing_user
   GECOS: testing user
   Login shell: /bin/sh
   Principal name: testing_user@IDM.EXAMPLE.COM
   Principal alias: testing_user@IDM.EXAMPLE.COM
   Email address: testing_user@idm.example.com
   UID: 1689700012
   GID: 1689700012
   Account disabled: False
   Preserved user: False
   Password: False
   Member of groups: ipausers
   Kerberos keys available: False
   ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
   mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
   objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
                ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry

2. Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine. Assurez-vous que les attributs importés ne sont pas copiés deux fois et qu'ils ont les bonnes valeurs.