Red Hat Summit第1章 RHEL 7 サーバーから RHEL 8 サーバーへの IdM 環境の移行
RHEL 7 IdM 環境を RHEL 8 にアップグレードするには、最初に新しい RHEL 8 IdM レプリカを RHEL 7 IdM 環境に追加し、RHEL 7 サーバーをリタイアさせる必要があります。
- RHEL 7 IdM サーバーおよび IdM サーバーノードの RHEL 8 へのインプレースアップグレードはサポートされていません。
RHEL 6 以前のバージョンから RHEL 8 への直接移行はサポートされていません。IdM データを適切に更新するには、増分移行を実行する必要があります。
たとえば、RHEL 6 IdM 環境を RHEL 8 に移行するには、次のコマンドを実行します。
- RHEL 6 サーバーから RHEL 7 サーバーに移行します。Red Hat Enterprise Linux 6 からバージョン 7 への Identity Management の移行 を参照してください。
- 本セクションで説明されているように、RHEL 7 サーバーから RHEL 8 サーバーに移行します。
RHEL 8 は SPAKE と IdP 事前認証をサポートしていますが、RHEL 7 はサポートしていません。RHEL 7 IdM デプロイメントで SPAKE または IdP が有効になっている RHEL 8 サーバーを使用すると、ユーザーがログインできないなどの問題が発生する可能性があります。IdM デプロイメント内のすべてのサーバーをできるだけ早く移行してください。
詳細は、Red Hat ナレッジベースソリューションの Kerberos での事前認証エラー および AD 信頼ユーザー向けの 2FA/OTP 認証の使用を 参照してください。
この手順では、すべての Identity Management (IdM) のデータおよび設定を、RHEL (Red Hat Enterprise Linux) 7 サーバーから RHEL 8 サーバーへ 移行 する方法を説明します。この手順を使用して、RHEL 以外の Linux ディストリビューション上の FreeIPA サーバーから RHEL 8 サーバー上の IdM に移行することもできます。
移行手順には、以下が含まれます。
- RHEL 8 IdM サーバーを設定し、現在の RHEL 7 IdM 環境にレプリカとして追加します。詳細は、RHEL 8 レプリカのインストール を参照してください。
- RHEL 8 サーバーを認証局 (CA) 更新サーバーにする。詳細は、RHEL 8 IdM サーバーへの CA 更新サーバーロールの割り当て を参照してください。
- RHEL 7 サーバーで証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 8 にリダイレクトする。詳細は RHEL 7 IdM CA サーバーでの CRL 生成の停止 を参照してください。
- RHEL 8 サーバーで CRL の生成を開始する。詳細は 新しい RHEL 8 IdM CA サーバーでの CRL 生成の開始 を参照してください。
- 元の RHEL 7 CA 更新サーバーを停止して使用を中止する。詳細は RHEL 7 サーバーの停止および使用停止 を参照してください。
手順では、以下を前提としています。
-
rhel8.example.comは、新しい CA 更新サーバーとなる RHEL 8 システムです。 rhel7.example.comは、元の RHEL 7 CA 更新サーバーです。マスター CA 更新サーバーである Red Hat Enterprise Linux 7 サーバーを特定するには、任意の IdM サーバーで次のコマンドを実行します。ipa config-show | grep "CA renewal"
[root@rhel7 ~]# ipa config-show | grep "CA renewal" IPA CA renewal master: rhel7.example.comCopy to Clipboard Copied! IdM デプロイメントで認証局 (CA) を使用しない場合、RHEL 7 で実行している IdM サーバーは
rhel7.example.comにすることができます。
IdM デプロイメントが組み込み CA を使用する場合に のみ、以下のセクションの手順を完了します。
1.1. RHEL 7 から RHEL 8 への IdM の移行の準備
rhel7.example.com で、以下を行います。
- システムを最新の RHEL 7 バージョンへアップグレードしている。
- ドメインのドメインレベルが 1 に設定されていることを確認します。詳細は、RHEL 7 の Linux ドメイン ID、認証、およびポリシーガイド の ドメインレベルの表示と引き上げ を参照してください。
ipa-* パッケージを最新バージョンへ更新している。
yum update ipa-*
[root@rhel7 ~]# yum update ipa-*Copy to Clipboard Copied! 警告複数の Identity Management (IdM) サーバーをアップグレードする場合は、各アップグレードの間隔は少なくとも 10 分あけてください。
複数のサーバーで同時または間隔をあまりあけないでアップグレードを行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。
rhel8.example.com で、以下を行います。
- システムに最新バージョンの Red Hat Enterprise Linux をインストールします。詳細は、インストールメディアからの RHEL の対話型インストール を参照してください。
rhel7.example.comが同期されているタイムサーバーを特定します。ntpstat
[root@rhel7 ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 sCopy to Clipboard Copied! 重要RHEL 8 では IdM は独自の時刻サーバーを提供しません。つまり、
rhel8.example.comに IdM をインストールしても、ホストに NTP サーバーはインストールされません。したがって、ntp.example.comなどの別の NTP サーバーを使用する必要があります。詳細は chrony への移行 および IdM のタイムサービス要件 を参照してください。rhel7.example.comは NTP サーバーロールで使用できますが、移行プロセスの一環としてサーバーの使用を停止します。したがって、rhel8.example.comは、代わりにntp.example.comと直接同期する必要があります。これは、クライアントのインストールプロセス中に指定できます。rhel7.example.comIdM サーバーが権限を持つドメインに、システムを IdM クライアントとして登録します。詳細は、IdM クライアントのインストール を参照してください。クライアントをインストールするときに、前の手順で指定したタイムサーバーを指定します。ipa-client-install --mkhomedir --ntp-server ntp.example.com
[root@rhel8]# ipa-client-install --mkhomedir --ntp-server ntp.example.comCopy to Clipboard Copied! NTP サーバーのプールを使用している場合は、
--ntp-poolオプションを使用します。NTP サーバーを手動で指定しない場合は、DNS レコードから自動的に設定されます。これにより、
rhel8.example.comがrhel7.example.comと同期することになります。これにより、RHEL 7 サーバーが使用できなくなると問題が発生します。RHEL8 システムがすでに NTP クライアントとして適切に設定されている場合は、IdM クライアントのインストールを実行するときに
--no-ntpオプションを使用できます。重要シングルラベルのドメイン名 (
.companyなど) は使用しないでください。RHEL 8 以降、IDM は単一ラベルのドメイン名を受け入れず、ドメイン名は 1 つ以上のサブドメインとトップレベルドメイン(example.comやcompany.example.comなど) で設定されている必要があります。既存のドメインが単一ラベルの場合、これらの手順を使用して移行を実行することはできません。このような場合は、LDAP サーバーをアイデンティティー Management に移行する を使用します。
- IdM サーバーのインストール用にシステムを準備します。Preparing the system for IdM server installation を参照してください。
- IdM レプリカのインストールをシステムに許可します。Authorizing the installation of a replica on an IdM client を参照してください。
ipa-* パッケージを最新バージョンへ更新している。
yum update ipa-*
[root@rhel7 ~]# yum update ipa-*Copy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}