29.4. シナリオ 2: LDAP サーバーを直接 Identity Management に移行する
重要
この例は一般的な移行手順のため、あらゆる環境に対応するわけではありません。
実際に LDAP 環境の移行に入る前に、LDAP のテスト環境を設定して移行プロセスを検証することを強く推奨します。
- カスタム LDAP ディレクトリースキーマを含む IdM サーバーのインストール[12]既存の LDAP ディレクトリーとは異なるマシン上にある。
- compat プラグインを無効にします。
# ipa-compat-manage disable
- IdM Directory Server インスタンスを再起動します。
# service dirsrv restart
- IdM サーバーが移行を許可できるようにします。
# ipa config-mod --enable-migration=TRUE
- IdM 移行スクリプト ipa migrate-ds を実行します。最も基本的な移行の場合、ここで必要となるのは LDAP ディレクトリーインスタンスの LDAP URL のみです。
# ipa migrate-ds ldap://ldap.example.com:389
LDAP URL を渡すだけで共通のデフォルト設定を使用するディレクトリーデータはすべて移行されます。ユーザーやグループのデータは 「migrate-ds を使用する例」 で説明しているように他のオプションを指定することで選択的に移行することが可能です。情報のエクスポートが完了すると、このスクリプトにより、必要とされる IdM オブジェクトクラスおよび属性がすべて追加され、IdM ディレクトリーツリーと一致するよう DN は属性に変換されます。 - compat プラグインを再度有効にします。
# ipa-compat-manage enable
- IdM Directory Server インスタンスを再起動します。
# service dirsrv restart
- LDAP ディレクトリー、NIS、またはローカルファイルに接続する代わりに、PAM_LDAP および NSS_LDAP を使用して IdM に接続するようにクライアント設定を更新します。
- 任意。SSSD を設定します。SSSD を使用すると、「パスワード移行のプランニング」で説明されているように、ユーザーとの対話なしでユーザーパスワードが移行されます。
- すべてのクライアントマシンに SSSD をインストールします。
# yum install sssd
- 以下のコマンド ipa-client-install を実行して、ID および Kerberos 認証に IdM サーバーを使用するように、SSSD および関連サービスを設定します。
- SSSD がクライアントで利用できない場合は、SSSD クライアントまたは移行 Web ページを使用して IdM にログインするように指示します。どちらの方法でも、ユーザーパスワードが Identity Management に自動的に移行されます。
https://ipaserver.example.com/ipa/migration
- 任意。SSSD ではないクライアントが LDAP 認証 (
pam_ldap
) ではなく Kerberos 認証 (pam_krb5
) を使用するよう再設定します。注記全ユーザーが移行されるまで PAM_LDAP モジュールを使用し、次に PAM_KRB5 をしようできるようになります。 - クライアントとユーザーすべての移行が完了したら LDAP ディレクトリーを廃止します。