Chapitre 4. Migration d'un annuaire LDAP vers IdM
Si vous avez précédemment déployé un serveur LDAP pour les recherches d'identité et d'authentification, vous pouvez migrer le service de recherche vers Identity Management (IdM). IdM propose un outil de migration pour vous aider dans les tâches suivantes :
- Transfert des comptes d'utilisateurs, y compris les mots de passe et l'appartenance à des groupes, sans perte de données.
- Éviter les mises à jour coûteuses de la configuration sur les clients.
Le processus de migration décrit ici suppose un scénario de déploiement simple avec un espace de noms dans LDAP et un dans IdM. Pour des environnements plus complexes, tels que ceux avec des espaces de noms multiples ou des schémas personnalisés, contactez les services d'assistance de Red Hat.
4.1. Considérations relatives à la migration de LDAP vers IdM
Le processus de passage d'un serveur LDAP à la gestion de l'identité (IdM) se déroule selon les étapes suivantes :
- Migration du site clients. Planifiez cette étape avec soin. Déterminez les services utilisés par chaque client dans votre infrastructure actuelle. Il peut s'agir par exemple de Kerberos ou de Systems Security Services Daemon (SSSD). Déterminez ensuite lesquels de ces services vous pouvez utiliser dans le déploiement final de l'IdM. Pour plus d'informations, voir Planification de la configuration du client lors de la migration de LDAP vers IdM.
- Migration du site data.
- Migration du site passwords. Planifiez cette étape avec soin. Outre les mots de passe, IdM exige des hachages Kerberos pour chaque compte d'utilisateur. Certaines considérations et certains chemins de migration pour les mots de passe sont abordés dans Planification de la migration des mots de passe lors de la migration de LDAP vers IdM.
Vous pouvez d'abord migrer la partie serveur et ensuite les clients ou d'abord les clients et ensuite le serveur. Pour plus d'informations sur les deux types de migration, voir Séquence de migration de LDAP vers IdM.
Il est fortement recommandé de mettre en place un environnement LDAP de test et de tester le processus de migration avant de tenter de migrer l'environnement LDAP réel. Lors du test de l'environnement, procédez comme suit
- Créez un utilisateur test dans IdM et comparez le résultat des utilisateurs migrés à celui de l'utilisateur test. Assurez-vous que les utilisateurs migrés contiennent l'ensemble minimal d'attributs et de classes d'objets présents sur l'utilisateur test.
- Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine. Assurez-vous que les attributs importés ne sont pas copiés deux fois et qu'ils ont les bonnes valeurs.