29.3. シナリオ 1: 移行の一部として SSSD を使用する
重要
この例は一般的な移行手順のため、あらゆる環境に対応するわけではありません。
実際に LDAP 環境の移行に入る前に、LDAP のテスト環境を設定して移行プロセスを検証することを強く推奨します。
- SSSD を設定します。SSSD を使用すると、必要な Kerberos 鍵とサーバー証明書をクライアントに配信できます。
- すべてのクライアントマシンに SSSD をインストールします。
# yum install sssd
- SSSD で LDAP アイデンティティープロバイダーを、すべての機能 (認証、ID ルックアップ、アクセス、およびパスワードの変更) に既存の Directory Server を使用するように設定します。これにより、すべてのクライアントが既存のディレクトリーサービスで適切に動作するようになります。
- カスタム LDAP ディレクトリースキーマを含む Identity Management のインストール[11]既存の LDAP ディレクトリーとは異なるマシン上にある。
- IdM サーバーが移行を許可できるようにします。
# ipa config-mod --enable-migration=TRUE
- compat プラグインを無効にします。
# ipa-compat-manage disable
- IdM Directory Server インスタンスを再起動します。
# service dirsrv restart
- IdM 移行スクリプト ipa migrate-ds を実行します。最も基本的な移行の場合、ここで必要となるのは LDAP ディレクトリーインスタンスの LDAP URL のみです。
# ipa migrate-ds ldap://ldap.example.com:389
LDAP URL を渡すだけで共通のデフォルト設定を使用するディレクトリーデータはすべて移行されます。ユーザーやグループのデータは 「migrate-ds を使用する例」 で説明しているように他のオプションを指定することで選択的に移行することが可能です。情報のエクスポートが完了すると、このスクリプトにより、必要とされる IdM オブジェクトクラスおよび属性がすべて追加され、IdM ディレクトリーツリーと一致するよう DN は属性に変換されます。 - compat プラグインを再度有効にします。
# ipa-compat-manage enable
- IdM Directory Server インスタンスを再起動します。
# service dirsrv restart
- SSSD が LDAP バックエンドから Identity Management バックエンドにインストールされたクライアントを移行し、クライアントとして IdM として登録します。これにより必要なキーと証明書がダウンロードされます。Red Hat Enterprise Linux クライアントでは、この ipa-client-install コマンドを使用して実行できます。たとえば、以下のようになります。
# ipa-client-install --enable-dns-updates
- ユーザーが SSSD バックエンドおよび Identity Management バックエンドを使用してマシンにログインしている。これにより、ユーザーに必要な Kerberos キーが生成されます。ユーザーの移行プロセスを監視するには、パスワードは持っているが Kerberos プリンシパルキーはまだないユーザーアカウントを表示するよう既存の LDAP ディレクトリーに問い合わせます。
$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'ou=people,dc=example,dc=com' '(&(!(krbprincipalkey=*))(userpassword=*))' uid
注記フィルターの前後に引用符を付けてシェルで解釈されないようにします。 - ユーザーが移行したら、必要に応じて SSSD 以外のクライアントが IdM ドメインを使用するように設定します。
- クライアントとユーザーすべての移行が完了したら LDAP ディレクトリーを廃止します。