検索

第3章 RHEL 以外の Linux ディストリビューション上の FreeIPA から RHEL 9 上の IdM への移行

download PDF

RHEL 以外の Linux ディストリビューション上の FreeIPA デプロイメントを RHEL 9 サーバー上の Identity Management (IdM) デプロイメントに移行するには、最初に新しい RHEL 9 IdM 認証局 (CA) レプリカを既存の FreeIPA 環境に追加し、証明書関連ロールの転送を行い、RHEL 以外の FreeIPA サーバーを廃止する必要があります。

警告

Convert2RHEL ツールを使用した、RHEL 以外の FreeIPA サーバーから RHEL 9 IdM サーバーへのインプレース変換の実行はサポートされていません。

重要

RHEL 9 の DEFAULT システム全体の暗号化ポリシーでは SHA-1 アルゴリズムの使用が無効になっているため、RHEL 9 システムが RHEL-9 以外のシステムと同じ IdM デプロイメントで使用される場合、複数の既知の問題が発生する可能性があります。詳細は、以下を参照してください。

重要

IdM レプリカを RHEL 9.2 にアップグレードした後、IdM Kerberos Distribution Center (KDC) は、アカウントにセキュリティー識別子 (SID) が割り当てられていないユーザーに Ticket-Granting Ticket (TGT) を発行できない場合があります。その結果、ユーザーは自分のアカウントにログインできなくなります。

この問題を回避するには、トポロジー内の別の IdM レプリカで IdM 管理者として # ipa config-mod --enable-sid --add-sids を実行して SID を生成します。その後もユーザーがログインできない場合は、Directory Server のエラーログを調べてください。ユーザーの POSIX ID を含めるように ID 範囲を調整する必要がある場合があります。

前提条件

RHEL 9 システムの場合:

  1. 最新バージョンの Red Hat Enterprise Linux がシステムにインストールされている。詳細は、標準的な RHEL 9 インストールの実行を参照してください。
  2. システムが、FreeIPA サーバーが権限を持つドメインに登録された IdM クライアントであることを確認してください。詳細は、IdM クライアントのインストール: 基本的なシナリオ を参照してください。
  3. システムが IdM サーバーのインストール要件を満たしていることを確認します。Preparing the system for IdM server installation を参照してください。
  4. システムで IdM レプリカのインストールが許可されていることを確認します。Authorizing the installation of a replica on an IdM client を参照してください。

RHEL 以外の FreeIPA サーバー上:

  1. システムが同期しているタイムサーバーを確認してください。

    [root@freeipaserver ~]# ntpstat
    synchronised to NTP server (ntp.example.com) at stratum 3
       time correct to within 42 ms
       polling server every 1024 s
  2. ipa-* パッケージを最新バージョンへ更新している。

    [root@freeipaserver ~]# dnf update ipa-*

手順

  1. 移行を実行するには、RHEL 8 サーバーとして機能する RHEL 以外の FreeIPA CA レプリカを使用して、IdM 環境を RHEL 8 サーバーから RHEL 9 サーバーに移行する と同じ手順を実行します。

    1. RHEL 9 サーバーを設定し、RHEL 以外の Linux ディストリビューション上の現在の FreeIPA 環境に IdM レプリカとして追加します。詳細は、Installing the RHEL 9 Replica を参照してください。
    2. RHEL 9 レプリカを認証局 (CA) 更新サーバーにします。詳細はRHEL 9 IdM サーバーへの CA 更新サーバーロールの割り当てを参照してください。
    3. RHEL 以外のサーバーでの証明書失効リスト (CRL) の生成を停止し、CRL 要求を RHEL 9 レプリカにリダイレクトします。詳細は、Stopping CRL generation on a RHEL 8 IdM CA server を参照してください。
    4. RHEL 9 サーバーで CRL の生成を開始します。詳細は、Starting CRL generation on the new RHEL 9 IdM CA server を参照してください。
    5. 元の非 RHEL FreeIPA CA 更新サーバーを停止して廃止します。詳細は、Stopping and decommissioning the RHEL 8 server を参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.