Red Hat Summit第1章 RHEL 8 サーバーから RHEL 9 サーバーへの IdM 環境の移行
RHEL 8 IdM 環境を RHEL 9 にアップグレードするには、最初に新しい RHEL 9 IdM レプリカを RHEL 8 IdM 環境に追加し、RHEL 8 サーバーを廃止する必要があります。この移行では、すべての Identity Management (IdM) データと設定を Red Hat Enterprise Linux (RHEL) 8 サーバーから RHEL 9 サーバーに移動する必要があります。
IdM デプロイメント内のすべてのサーバーをできるだけ早く移行してください。長期間にわたって同じデプロイメント内で異なる IdM バージョンを混在させると、互換性がなくなったり、回復不可能なデータ破損が発生する可能性があります。
- RHEL 8 IdM サーバーおよび IdM サーバーノードの RHEL 9 へのインプレースアップグレードはサポートされていません。
- FIPS モードの RHEL 9 IdM レプリカを FIPS モードの RHEL 8 IdM デプロイメントに追加する方法の詳細は、RHEL 9 の導入に関する考慮事項 の ID 管理 セクションを参照してください。
IdM レプリカを RHEL 9.2 にアップグレードした後、IdM Kerberos Distribution Center (KDC) は、アカウントにセキュリティー識別子 (SID) が割り当てられていないユーザーに Ticket-Granting Ticket (TGT) を発行できない場合があります。その結果、ユーザーは自分のアカウントにログインできなくなります。
この問題を回避するには、トポロジー内の別の IdM レプリカで IdM 管理者として
# ipa config-mod --enable-sid --add-sidsを実行して SID を生成します。その後もユーザーがログインできない場合は、Directory Server のエラーログを調べてください。ユーザーの POSIX ID を含めるように ID 範囲を調整する必要がある場合があります。RHEL 7 以前のバージョンから RHEL 9 への直接移行はサポートされていません。IdM データを適切に更新するには、増分移行を実行する必要があります。
たとえば、RHEL 7 IdM 環境を RHEL 9 に移行するには、次のコマンドを実行します。
- RHEL 7 サーバーから RHEL 8 サーバーに移行します。RHEL 8 の Identity Management への移行 を参照してください。
- 本セクションで説明されているように、RHEL 8 サーバーから RHEL 9 サーバーに移行します。
このセクションでは、すべての Identity Management (IdM) データおよび設定を、Red Hat Enterprise Linux (RHEL) 8 サーバーから RHEL 9 サーバーに 移行 する方法を説明します。
移行手順には、以下が含まれます。
- RHEL 9 IdM サーバーを設定し、現在の RHEL 8 IdM 環境にレプリカとして追加します。詳細は、Installing the RHEL 9 Replica を参照してください。
- RHEL 9 サーバーを認証局 (CA) 更新サーバーにする。詳細はRHEL 9 IdM サーバーへの CA 更新サーバーロールの割り当てを参照してください。
- RHEL 8 サーバーで証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 9 レプリカにリダイレクトします。詳細は、Stopping CRL generation on a RHEL 8 IdM CA server を参照してください。
- RHEL 9 サーバーで CRL の生成を開始する。詳細は、Starting CRL generation on the new RHEL 9 IdM CA server を参照してください。
- 元の RHEL 8 CA 更新サーバーを停止して廃止する。詳細は、Stopping and decommissioning the RHEL 8 server を参照してください。
手順では、以下を前提としています。
-
rhel9.example.comは、新しい CA 更新サーバーとなる RHEL 9 システムです。 rhel8.example.comは、元の RHEL 8 CA 更新サーバーです。CA 更新サーバーである Red Hat Enterprise Linux 8 サーバーを特定するには、任意の IdM サーバーで次のコマンドを実行します。[root@rhel8 ~]# ipa config-show | grep "CA renewal" IPA CA renewal master: rhel8.example.comIdM デプロイメントで IdM CA を使用しない場合、RHEL 8 で実行されている IdM サーバーは
rhel8.example.comになります。
IdM デプロイメントで組み込み認証局 (CA) しか使用する場合に限り、以下のセクションの手順を実行します。
1.1. IdM を RHEL 8 から 9 に移行するための前提条件
rhel8.example.com で、以下を行います。
システムを最新の RHEL 8 バージョンにアップグレードします。
重要RHEL 9.0 に移行する場合は、RHEL 8.6 よりも新しいバージョンに更新しないでください。RHEL 8.7 からの移行は、RHEL 9.1 でのみサポートされています。
ipa-* パッケージを最新バージョンへ更新している。
[root@rhel8 ~]# dnf update ipa-*警告複数の Identity Management (IdM) サーバーをアップグレードする場合は、各アップグレードの間隔は少なくとも 10 分あけてください。
複数のサーバーで同時または間隔をあまりあけないでアップグレードを行うと、トポロジー全体でアップグレード後のデータ変更を複製する時間が足りず、複製イベントが競合する可能性があります。
rhel9.example.com で以下を行います。
- 最新バージョンの Red Hat Enterprise Linux がシステムにインストールされている。詳細は、インストールメディアからの RHEL の対話型インストール を参照してください。
-
システムが、
rhel8.example.comIdM サーバーが権威ドメインに登録されている IdM クライアントであることを確認します。詳細は、IdM クライアントのインストール: 基本的なシナリオ を参照してください。 - システムが IdM サーバーのインストール要件を満たしていることを確認します。Preparing the system for IdM server installation を参照してください。
時刻サーバー
rhel8.example.comが同期されていることを確認している。[root@rhel8 ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 s
- システムで IdM レプリカのインストールが許可されていることを確認します。Authorizing the installation of a replica on an IdM client を参照してください。
ipa-* パッケージを最新バージョンへ更新している。
[root@rhel8 ~]# dnf update ipa-*
関連情報
新しい IdM プライマリーサーバー
rhel9.example.comにインストールするサーバーロールを決定するには、以下のリンクを参照してください。- IdM での CA サーバーロールの詳細は、CA サービスの計画 を参照してください。
- IdM での DNS サーバーロールの詳細は、DNS サービスおよびホスト名の計画 を参照してください。
- IdM と Active Directory (AD) 間のフォレスト間の信頼に基づく統合の詳細は、IdM と AD との間のフォレスト間の信頼の計画 を参照してください。
- RHEL 9 に IdM 用の特定のサーバーロールをインストールするには、特定の IdM リポジトリーからパッケージをダウンロードする必要があります (Installing packages required for an IdM server 参照)。
- システムを RHEL 8 から RHEL 9 にアップグレードするには、Upgrading from RHEL 8 to RHEL 9 を参照してください。
