第7章 同期から信頼への既存環境の移行
同期 および 信頼は、間接的な統合で使用可能な 2 つのアプローチです。同期は一般的に推奨されず、Red Hat では Active Directory (AD) 信頼を基にしたアプローチを推奨しています。詳細は 「間接的な統合」 を参照してください。
本章では、既存の同期ベースの設定を AD 信頼に移行する方法を説明しています。以下の移行オプションは IdM で利用可能です。
7.1. ipa-winsync-migrate
を使用した同期から信頼への自動移行
重要
ipa-winsync-migrate
ユーティリティーは、Red Hat Enterprise Linux 7.2 以降を稼働中のシステムでのみ利用可能です。
7.1.1. ipa-winsync-migrate
を使用した移行の仕組み
ipa-winsync-migrate
ユーティリティーは、Winsync 環境の既存の設定を保持し、それを AD トラストに転送しながら、同期されたすべてのユーザーを AD フォレストから移行します。Winsync 合意で作成された各 AD ユーザーには、ipa-winsync-migrate
がデフォルト信頼ビュー内に ID 上書きを作成します (「Active Directory のデフォルト信頼ビュー」 を参照)。
移行完了後には、以下のようになります。
- AD ユーザーの ID 上書きには、Winsync 内の元のエントリーから以下の属性がコピーされます。
- ログイン名 (
uid
) - UID 番号 (
uidnumber
) - GID 番号 (
gidnumber
) - ホームディレクトリー (
homedirectory
) - GECOS エントリー (
gecos
)
- AD 信頼内のユーザーアカウントは、以下を含む IdM 内の元の設定を保持します。
- POSIX 属性
- ユーザーグループ
- ロールベースのアクセス制御ルール
- ホストベースのアクセス制御ルール
- SELinux メンバーシップ
sudo
ルール
- 新規 AD ユーザーが外部 IdM グループのメンバーとして追加されます。
- 元の Winsync レプリケーション合意、元の同期済みユーザーアカウント、およびユーザーアカウントのローカルコピーがすべて削除されます。
7.1.2. ipa-winsync-migrate
を使用した移行方法
作業を開始する前に:
ipa-backup
ユーティリティーを使用する IdM 設定をバックアップする。『Linux ドメイン ID、認証、およびポリシーガイド』 の Identity Management のバックアップと復元 を参照してください。理由: 移行は、IdM 設定および多くのユーザーアカウントに多大な影響を及ぼします。バックアップを作成することで、必要な場合は元の設定を復元することができます。
移行は、以下の手順で実行します。
- 同期されたドメインで信頼を作成します。5章Active Directory および Identity Management を使用したフォレスト間の信頼作成 を参照してください。
ipa-winsync-migrate
を実行して、AD レルムと、AD ドメインコントローラーのホスト名を指定してください。# ipa-winsync-migrate --realm example.com --server ad.example.com
ipa-winsync-migrate
が作成した上書き内で競合が発生した場合は、この競合についての情報が表示されますが、移行は継続されます。- AD サーバーからのパスワード同期サービスをアンインストールします。これにより、AD ドメインコントローラーから同期合意が削除されます。
このユーティリティーの詳細は、ipa-winsync-migrate(1) の man ページを参照してください。