4.7. Migration de LDAP vers IdM sur SSL
Vous pouvez migrer vos services d'authentification et d'autorisation d'un serveur LDAP vers Identity Management (IdM) à l'aide de la commande ipa migrate-ds
. Cette section décrit comment crypter les données transmises lors de la migration.
Il s'agit d'une procédure de migration générale qui peut ne pas fonctionner dans tous les environnements.
Il est fortement recommandé de mettre en place un environnement LDAP de test et de tester le processus de migration avant de tenter de migrer l'environnement LDAP réel. Lors du test de l'environnement, procédez comme suit
- Créez un utilisateur test dans IdM et comparez le résultat des utilisateurs migrés à celui de l'utilisateur test.
- Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine.
Pour plus d'informations, voir la section Verification ci-dessous.
Conditions préalables
- Vous disposez de droits d'administrateur sur le répertoire LDAP.
- Si IdM est déjà installé, vous disposez des privilèges d'administrateur pour IdM.
-
Vous êtes connecté en tant que
root
sur le système RHEL sur lequel vous exécutez la procédure ci-dessous. Vous avez lu et compris les chapitres suivants :
- Considérations relatives à la migration de LDAP vers IdM.
- Planification de la configuration du client lors de la migration de LDAP vers IdM.
- Planification de la migration des mots de passe lors de la migration de LDAP vers IdM.
- Autres considérations et exigences en matière de migration.
- Personnalisation de la migration de LDAP vers IdM.
Procédure
-
Stocker le certificat de l'autorité de certification qui a émis le certificat du serveur LDAP distant dans un fichier sur le futur serveur IdM. Par exemple :
/tmp/remote.crt
. Suivez les étapes décrites dans la section Migration d'un serveur LDAP vers IdM. Cependant, pour une connexion LDAP cryptée pendant la migration, utilisez le protocole
ldaps
dans l'URL et passez l'option--ca-cert-file
à la commandeipa migrate-ds
. Par exemple :# ipa migrate-ds --ca-cert-file=/tmp/remote.crt --your-other-options ldaps://ldap.example.com:636
Vérification
Créez un utilisateur test dans IdM en utilisant la commande
ipa user-add
. Comparez les résultats des utilisateurs migrés à ceux de l'utilisateur test. Assurez-vous que les utilisateurs migrés contiennent l'ensemble minimal d'attributs et de classes d'objets présents sur l'utilisateur test. Par exemple :$ ipa user-show --all testing_user dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com User login: testing_user First name: testing Last name: user Full name: testing user Display name: testing user Initials: tu Home directory: /home/testing_user GECOS: testing user Login shell: /bin/sh Principal name: testing_user@IDM.EXAMPLE.COM Principal alias: testing_user@IDM.EXAMPLE.COM Email address: testing_user@idm.example.com UID: 1689700012 GID: 1689700012 Account disabled: False Preserved user: False Password: False Member of groups: ipausers Kerberos keys available: False ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry
- Comparez les résultats des utilisateurs migrés, tels qu'ils apparaissent sur IdM, aux utilisateurs sources, tels qu'ils apparaissent sur le serveur LDAP d'origine. Assurez-vous que les attributs importés ne sont pas copiés deux fois et qu'ils ont les bonnes valeurs.