Red Hat Summit8.2. Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行
この手順では、すべてのデータおよび設定を Red Hat Enterprise Linux 6 Identity Management から Red Hat Enterprise Linux 7 サーバーに移行する方法を説明します。移行手順には、以下が含まれます。
- Red Hat Enterprise Linux 6 ベースの認証局 (CA) マスターサーバーを Red Hat Enterprise Linux 7 に移行する。
- すべてのサービスを新しい Red Hat Enterprise Linux 7 サーバーに移行する。これらのサービスには、CRL および証明書の作成、DNS 管理、または Kerberos KDC の管理が含まれます。
- 元の Red Hat Enterprise Linux 6 CA マスターの使用を終了する。
手順では、以下を前提としています。
rhel7.example.comは、新しい CA マスターとなる Red Hat Enterprise Linux 7 システムです。重要現在サポートされているマイナーバージョンは RHEL 7.9 のみです。システムに RHEL 7.9 がインストールされていることを確認してください。rhel6.example.comは、元の Red Hat Enterprise Linux 6 CA マスターです。注記マスター CA サーバーである Red Hat Enterprise Linux 6 サーバーを特定するには、certmongerサービスがrenew_ca_certコマンドを追跡するサーバーを決定します。すべての Red Hat Enterprise Linux 6 サーバーでこのコマンドを実行します。getcert list -d /var/lib/pki-ca/alias -n "subsystemCert cert-pki-ca" | grep post-save
[root@rhel6 ~]# getcert list -d /var/lib/pki-ca/alias -n "subsystemCert cert-pki-ca" | grep post-save post-save command: /usr/lib64/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"Copy to Clipboard Copied! Toggle word wrap Toggle overflow renew_ca_cert を実行する保存後アクションは CA マスターに対してのみ定義されます。
8.2.1. Red Hat Enterprise Linux 6 から 7 への Identity Management の移行の前提条件
リンクのコピーリンクがクリップボードにコピーされました!
rhel6.example.comシステムを最新の Red Hat Enterprise Linux 6 バージョンに更新します。rhel6.example.comシステムで、ipa-* パッケージをアップグレードします。yum update ipa-*
[root@rhel6 ~]# yum update ipa-*Copy to Clipboard Copied! Toggle word wrap Toggle overflow この手順では、RHBA-2015:0231-2アドバイザリーが適用されていることも確認します。このアドバイザリーは、2.3-6.el6_6バージョンのbind-dyndb-ldapパッケージを提供し、Red Hat Enterprise Linux 6.6 拡張更新サポート (EUS) で使用できます。警告以前のバージョンの bind-dyndb-ldap を使用すると、Red Hat Enterprise Linux 6.6 DNS サーバーおよび Red Hat Enterprise Linux 7 DNS サーバー間の DNS 正引きゾーンに一貫性がない動作が生じます。rhel7.example.comシステムで、必要なパッケージをインストールします。「IdM サーバーのインストールに必要なパッケージ」を参照してください。
8.2.2. Red Hat Enterprise Linux 6 での Identity Management スキーマの更新
リンクのコピーリンクがクリップボードにコピーされました!
copy-schema-to-ca.py スキーマ更新スクリプトは、rhel7.example.com レプリカのインストールに rhel6.example.com を準備します。Identity Management バージョン 3.1 とそれ以降のバージョン間のスキーマの変更により、スキーマを更新する必要があります。
copy-schema-to-ca.pyスキーマ更新スクリプトをrhel7.example.comシステムからrhel6.example.comシステムにコピーします。以下に例を示します。scp /usr/share/ipa/copy-schema-to-ca.py root@rhel6:/root/
[root@rhel7 ~]# scp /usr/share/ipa/copy-schema-to-ca.py root@rhel6:/root/Copy to Clipboard Copied! Toggle word wrap Toggle overflow rhel6.example.comで更新されたcopy-schema-to-ca.pyスクリプトを実行します。python copy-schema-to-ca.py
[root@rhel6 ~]# python copy-schema-to-ca.py ipa : INFO Installed /etc/dirsrv/slapd-PKI-IPA//schema/60kerberos.ldif [... output truncated ...] ipa : INFO Schema updated successfullyCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Red Hat Enterprise Linux 7 レプリカに接続する前に、認証局を実行するすべての Red Hat Enterprise Linux 6 IdM レプリカで手順を繰り返します。
8.2.3. Red Hat Enterprise Linux 7 レプリカのインストール
リンクのコピーリンクがクリップボードにコピーされました!
rhel6.example.comシステムで、rhel7.example.comレプリカをインストールするために使用するレプリカファイルを作成します。たとえば、IP アドレスが192.0.2.1であるrhel7.example.comのレプリカファイルを作成するには、次のコマンドを実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 「レプリカ情報ファイル」 および 「レプリカの作成」 も参照してください。rhel6.example.comからrhel7.example.comに、レプリカ情報ファイルをコピーします。scp /var/lib/ipa/replica-info-replica.example.com.gpg root@rhel7:/var/lib/ipa/
[root@rhel6 ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@rhel7:/var/lib/ipa/Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 統合 CA のある新しいレプリカを Red Hat Enterprise Linux 7.6 以降にインストールする場合は、
/etc/httpd/conf.d/nss.confファイルのNSSCipherSuiteパラメーターの最後に以下のエントリーを追加します。+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha
+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_shaCopy to Clipboard Copied! Toggle word wrap Toggle overflow Red Hat Enterprise Linux 7.6 以降では、特定の暗号は IdM CA ではデフォルトで有効ではなくなりました。このエントリーを設定に追加せずに、Red Hat Enterprise Linux 6 で実行しているマスターのレプリカとして、統合 CA のある IdM サーバーを Red Hat Enterprise Linux 7.6 でセットアップすると、CRITICAL Failed to configure CA instance エラーが発生して失敗します。 - レプリカ ファイルを使用して
rhel7.example.comレプリカをインストールします。たとえば、次のコマンドでは、以下のオプションを使用しています。- Certificate System コンポーネントを設定する
--setup-ca - 統合 DNS サーバーを設定し、フォワーダーを設定する
--setup-dnsおよび--forwarder --ip-address-rhel7.example.comシステムの IP アドレスを指定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 関連項目:- 「レプリカの作成」: レプリカ情報ファイルを使用してレプリカを作成する方法を説明
- Identity Management サービスが
rhel7.example.comで稼働していることを確認します。ipactl status
[root@rhel7 ~]# ipactl status Directory Service: RUNNING [... output truncated ...] ipa: INFO: The ipactl command was successfulCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8.2.4. CA サービスの Red Hat Enterprise Linux 7 サーバーへの移行
リンクのコピーリンクがクリップボードにコピーされました!
作業を開始する前に:
rhel6.example.comおよびrhel7.example.comの CA がいずれもマスターサーバーとして設定されていることを確認します。kinit admin ipa-csreplica-manage list
[root@rhel7 ~]$ kinit admin [root@rhel7 ~]$ ipa-csreplica-manage list rhel6.example.com: master rhel7.example.com: masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow レプリカ合意の詳細を表示するには、以下を実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
rhel6.example.com の元のマスター CA で、CA サブシステム証明書の更新を停止します。
- 元の CA 証明書の追跡を無効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rhel6.example.comを再設定し、新しいマスター CA から更新された証明書を取得します。- 更新ヘルパースクリプトを
certmongerサービスディレクトリーにコピーし、適切なパーミッションを設定します。cp /usr/share/ipa/ca_renewal /var/lib/certmonger/cas/ chmod 0600 /var/lib/certmonger/cas/ca_renewal
[root@rhel6 ~]# cp /usr/share/ipa/ca_renewal /var/lib/certmonger/cas/ [root@rhel6 ~]# chmod 0600 /var/lib/certmonger/cas/ca_renewalCopy to Clipboard Copied! Toggle word wrap Toggle overflow - SELinux 設定を更新します。
restorecon /var/lib/certmonger/cas/ca_renewal
[root@rhel6 ~]# restorecon /var/lib/certmonger/cas/ca_renewalCopy to Clipboard Copied! Toggle word wrap Toggle overflow certmongerを再起動します。service certmonger restart
[root@rhel6 ~]# service certmonger restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow - CA が証明書を取得するようになっているかチェックします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - CA 証明書データベースの PIN を取得します。
grep internal= /var/lib/pki-ca/conf/password.conf
[root@rhel6 ~]# grep internal= /var/lib/pki-ca/conf/password.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 外部更新の証明書
certmonger追跡を設定します。これには、データベース PIN が必要です。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
CRL 生成を元の
rhel6.example.com CA マスターから rhel7.example.com に移動します。
rhel6.example.comで CRL 生成を停止します。- CA サービスを停止します。
service pki-cad stop
[root@rhel6 ~]# service pki-cad stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow rhel6.example.comで CRL 生成を無効にします。/var/lib/pki-ca/conf/CS.cfgファイルを開き、ca.crl.MasterCRL.enableCRLCacheおよびca.crl.MasterCRL.enableCRLUpdatesパラメーターの値をfalseに設定します。ca.crl.MasterCRL.enableCRLCache=false ca.crl.MasterCRL.enableCRLUpdates=false
ca.crl.MasterCRL.enableCRLCache=false ca.crl.MasterCRL.enableCRLUpdates=falseCopy to Clipboard Copied! Toggle word wrap Toggle overflow - CA サービスを起動します。
service pki-cad start
[root@rhel6 ~]# service pki-cad startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
rhel6.example.comで、CRL 要求をリダイレクトするように Apache を設定します。/etc/httpd/conf.d/ipa-pki-proxy.confファイルを開いて、RewriteRuleエントリーをコメントアウトします。RewriteRule ^/ipa/crl/MasterCRL.bin https://rhel6.example.com/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL [L,R=301,NC]
RewriteRule ^/ipa/crl/MasterCRL.bin https://rhel6.example.com/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL [L,R=301,NC]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記URL のサーバーのホスト名を置き換えないでください。URL はローカルホスト名を参照する必要があります。- Apache を再起動します。
service httpd restart
[root@rhel6 ~]# service httpd restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow
IdM は、ローカルファイルではなく、ローカル CA から証明書失効リスト (CRL) を取得するようになりました。rhel7.example.comで、新しい CA マスターとしてrhel7.example.comを設定します。- 「証明書更新を処理するサーバーの変更」 の説明に従って、CA サブシステム証明書の更新を処理するように
rhel7.example.comを設定します。 - 「CRL を生成するサーバーの変更」 で説明されているように、
rhel7.example.comを一般的な証明書失効リスト (CRL) に設定します。
関連情報
- CA サブシステム証明書の更新および CRL の詳細は、「レプリカのマスター CA サーバーへのプロモート」 を参照してください。
8.2.5. Red Hat Enterprise Linux 6 サーバーの停止
リンクのコピーリンクがクリップボードにコピーされました!
rhel6.example.com 上の全サービスを停止して、新しい rhel7.example.com サーバーへのドメイン検索を実施します。
この後に、
ipa ユーティリティーを使用すると、Remote Procedure Call (RPC) で新規サーバーに接続します。
8.2.6. マスター CA サーバーの移行後の次のステップ
リンクのコピーリンクがクリップボードにコピーされました!
トポロジーの各 Red Hat Enterprise Linux 6 サーバーの場合:
rhel7.example.comからレプリカファイルを作成します。注記Red Hat Enterprise Linux 6 サーバーから Red Hat Enterprise Linux 7 レプリカをインストールすると、Identity Management ドメインのドメインレベルは、自動的に 0 に設定されます。Red Hat Enterprise Linux 7.3 では、レプリカのインストールや管理が容易になりました。これらの機能を使用するには、トポロジーはドメインレベル 1 にする必要があります。7章ドメインレベルの表示と引き上げを参照してください。- レプリカファイルを使用して、別の Red Hat Enterprise Linux 7 システムに新しいレプリカをインストールします。
Red Hat Enterprise Linux 6 サーバーの使用を終了するには、以下を実行します。
- Red Hat Enterprise Linux 7 サーバーで削除コマンドを実行して、トポロジーからサーバーを削除します。
「IdM サーバーのアンインストール」を参照してください。
重要
クライアント設定は自動的に更新されません。IDM サーバーの使用を終了し、新しいサーバーを異なる名前で設定した場合は、全体的なクライアント設定を確認する必要があります。特に、以下のファイルを手動で更新する必要があります。
/etc/openldap/ldap.conf/etc/ipa/default.conf/etc/sssd/sssd.conf
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}