4.6. Migration d'un serveur LDAP vers IdM
Vous pouvez migrer vos services d'authentification et d'autorisation d'un serveur LDAP vers Identity Management (IdM) à l'aide de la commande ipa migrate-ds
.
Il s'agit d'une procédure de migration générale qui peut ne pas fonctionner dans tous les environnements.
Il est fortement recommandé de mettre en place un environnement LDAP de test et de tester le processus de migration avant de tenter de migrer l'environnement LDAP réel. Lors du test de l'environnement, procédez comme suit
- Créez un utilisateur test dans IdM et comparez le résultat des utilisateurs migrés à celui de l'utilisateur test.
- Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine.
Pour plus d'informations, voir la section Verification ci-dessous.
Conditions préalables
- Vous disposez de droits d'administrateur sur le répertoire LDAP.
- Si IdM est déjà installé, vous disposez des privilèges d'administrateur pour IdM.
-
Vous êtes connecté en tant que
root
sur le système RHEL sur lequel vous exécutez la procédure ci-dessous. Vous avez lu et compris les chapitres suivants :
- Considérations relatives à la migration de LDAP vers IdM.
- Planification de la configuration du client lors de la migration de LDAP vers IdM.
- Planification de la migration des mots de passe lors de la migration de LDAP vers IdM.
- Autres considérations et exigences en matière de migration.
- Personnalisation de la migration de LDAP vers IdM.
Procédure
Si IdM n'est pas encore installé : installez le serveur IdM, y compris tout schéma de répertoire LDAP personnalisé, sur une machine différente de celle sur laquelle le répertoire LDAP existant est installé. Pour plus de détails, voir Installation de la gestion des identités.
NoteLes schémas d'utilisateurs ou de groupes personnalisés sont peu pris en charge par IdM. Ils peuvent poser des problèmes lors de la migration en raison de l'incompatibilité des définitions d'objets.
Pour des raisons de performance, désactivez le plug-in compat :
# ipa-compat-manage disable
Pour plus d'informations sur la fonction de comparaison des schémas et sur les avantages qu'il y a à la désactiver pour la migration, voir Le schéma à utiliser lors de la migration de LDAP vers IdM et la fonction de comparaison des schémas.
Redémarrer l'instance d'IdM Directory Server :
# systemctl restart dirsrv.target
Configurer le serveur IdM pour permettre la migration :
# ipa config-mod --enable-migration=TRUE
En attribuant à
--enable-migration
la valeur TRUE, vous effectuez les opérations suivantes :- Autoriser les mots de passe pré-hachés lors d'une opération d'ajout LDAP.
- Configurez SSSD pour qu'il essaie la séquence de migration des mots de passe si l'authentification Kerberos initiale échoue. Pour plus d'informations, voir la section Flux de travail dans Utilisation de SSSD lors de la migration des mots de passe de LDAP vers IdM.
Exécutez le script de migration IdM,
ipa migrate-ds
, avec les options correspondant à votre cas d'utilisation. Pour plus d'informations, voir Personnaliser la migration de LDAP vers IdM.# ipa migrate-ds --your-options ldap://ldap.example.com:389
NoteSi vous n'avez pas désactivé le plug-in compat dans l'une des étapes précédentes, ajoutez l'option
--with-compat
àipa migrate-ds
:# ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389
Réactiver le plug-in compat :
# ipa-compat-manage enable
Redémarrer le serveur d'annuaire IdM :
# systemctl restart dirsrv.target
Lorsque les mots de passe de tous les utilisateurs ont été migrés, désactivez le mode de migration :
# ipa config-mod --enable-migration=FALSE
-
[Facultatif] Lorsque tous les utilisateurs ont été migrés, reconfigurez les clients non-SSSD pour qu'ils utilisent l'authentification Kerberos, c'est-à-dire
pam_krb5
, au lieu de l'authentification LDAP, c'est-à-direpam_ldap
. Pour plus d'informations, voir Configuration d'un client Kerberos dans RHEL 7 System-level Authentication Guide. Demandez aux utilisateurs de générer leurs mots de passe Kerberos hachés. Choisissez l'une des méthodes décrites dans la section Planification de la migration des mots de passe lors de la migration de LDAP vers IdM.
Si vous optez pour la méthode SSSD :
Déplacez les clients qui ont installé SSSD de l'annuaire LDAP vers l'annuaire IdM et inscrivez-les en tant que clients avec IdM. Cette opération permet de télécharger les clés et les certificats nécessaires.
Sur les clients Red Hat Enterprise Linux, vous pouvez le faire en utilisant la commande
ipa-client-install
. Par exemple :# ipa-client-install --enable-dns-update
Si vous optez pour la méthode de la page web de migration IdM:
Demander aux utilisateurs de se connecter à l'IdM en utilisant la page web de migration :
https://ipaserver.example.com/ipa/migration
Pour surveiller le processus de migration des utilisateurs, interrogez l'annuaire LDAP existant pour voir quels comptes d'utilisateurs ont un mot de passe mais n'ont pas encore de clé principale Kerberos.
$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid
NoteInclure les guillemets simples autour du filtre afin qu'il ne soit pas interprété par l'interpréteur de commandes.
- Lorsque la migration de tous les clients et utilisateurs est terminée, désactivez l'annuaire LDAP.
Vérification
Créez un utilisateur test dans IdM en utilisant la commande
ipa user-add
. Comparez les résultats des utilisateurs migrés à ceux de l'utilisateur test. Assurez-vous que les utilisateurs migrés contiennent l'ensemble minimal d'attributs et de classes d'objets présents sur l'utilisateur test. Par exemple :$ ipa user-show --all testing_user dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com User login: testing_user First name: testing Last name: user Full name: testing user Display name: testing user Initials: tu Home directory: /home/testing_user GECOS: testing user Login shell: /bin/sh Principal name: testing_user@IDM.EXAMPLE.COM Principal alias: testing_user@IDM.EXAMPLE.COM Email address: testing_user@idm.example.com UID: 1689700012 GID: 1689700012 Account disabled: False Preserved user: False Password: False Member of groups: ipausers Kerberos keys available: False ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry
- Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine. Assurez-vous que les attributs importés ne sont pas copiés deux fois et qu'ils ont les bonnes valeurs.
Ressources supplémentaires