Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

RHEL 10에서 Identity Management로 마이그레이션

Red Hat Enterprise Linux 10

RHEL 9 IdM 환경을 RHEL 10으로 업그레이드하고 외부 LDAP 솔루션을 IdM으로 마이그레이션

Red Hat Customer Content Services

초록

Red Hat은 RHEL(Red Hat Enterprise Linux)에서 IdM(Identity Management)만 지원합니다. RHEL 9 또는 LDAP 디렉터리에서 IdM을 실행하는 경우 RHEL 10의 IdM으로 이러한 솔루션을 마이그레이션할 수 있습니다.

Red Hat 문서에 관한 피드백 제공
링크 복사

문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.

Jira를 통해 피드백 제출 (계정 필요)

  1. Jira 웹 사이트에 로그인합니다.
  2. 상단 탐색 바에서 생성을 클릭합니다.
  3. 요약 필드에 설명 제목을 입력합니다.
  4. 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
  5. 대화 상자 하단에서 생성 을 클릭합니다.

I 부. RHEL 9에서 RHEL 10으로 IdM 마이그레이션
링크 복사

1장. IdM 환경을 RHEL 9 서버에서 RHEL 10 서버로 마이그레이션
링크 복사

RHEL 9 IdM 환경을 RHEL 10으로 업그레이드하려면 먼저 RHEL 9 IdM 환경에 새 RHEL 10 IdM 복제본을 추가한 다음 RHEL 9 서버를 정리해야 합니다. 마이그레이션에는 RHEL(Red Hat Enterprise Linux) 9 서버에서 RHEL 10 서버로 모든 IdM(Identity Management) 데이터 및 구성을 이동하는 작업이 포함됩니다.

중요

IdM 배포의 모든 서버를 최대한 빨리 마이그레이션합니다. 오랜 기간 동안 동일한 배포에서 다른 IdM 버전을 혼합하면 비호환성 또는 복구 불가능한 데이터 손상이 발생할 수 있습니다.

주의
  • RHEL 9 IdM 서버 및 IdM 서버 노드를 RHEL 10으로 인플레이스 업그레이드를 수행하는 것은 지원되지 않습니다.
  • IdM 환경을 RHEL 10으로 마이그레이션하기 전에 Red Hat은 먼저 ipa-healthcheck 를 실행하여 문제를 방지할 것을 권장합니다.
  • FIPS 모드에서 RHEL 10 IdM 복제본을 RHEL 9 IdM 배포에 추가하는 방법에 대한 자세한 내용은 RHEL 10 도입 시 고려 사항ID 관리 섹션을 참조하십시오.

  • RHEL 8 또는 이전 버전에서 RHEL 10으로 직접 마이그레이션하는 것은 지원되지 않습니다. IdM 데이터를 올바르게 업데이트하려면 증분 마이그레이션을 수행해야 합니다.

    예를 들어 RHEL 8 IdM 환경을 RHEL 10으로 마이그레이션하려면 다음을 수행합니다.

    1. RHEL 8 서버에서 RHEL 9 서버로 마이그레이션. RHEL 9의 Identity Management로 마이그레이션 을 참조하십시오.
    2. 이 섹션에 설명된 대로 RHEL 9 서버에서 RHEL 10 서버로 마이그레이션합니다.

다음 절차에서는 다음을 수행합니다.

  • rhel10.example.com 은 새 CA 갱신 서버가 되는 RHEL 10 시스템입니다.

  • rhel9.example.com 은 원래 RHEL 9 CA 갱신 서버입니다. CA 갱신 서버인 Red Hat Enterprise Linux 9 서버를 확인하려면 IdM 서버에서 다음 명령을 실행합니다. 

    [root@rhel9 ~]# ipa config-show | grep "CA renewal"
IPA CA renewal master: rhel9.example.com
    Copy to Clipboard Toggle word wrap

    IdM 배포에서 IdM CA를 사용하지 않는 경우 RHEL 9에서 실행 중인 IdM 서버는 rhel9.example.com 일 수 있습니다.

참고

IdM 배포에서 포함된 CA(인증 기관)를 사용하는 경우에만 다음 섹션의 단계를 완료합니다.

1.1. IdM을 RHEL 9에서 10으로 마이그레이션하기 위한 사전 요구 사항
링크 복사

참고

HSM(하드웨어 보안 모듈)을 사용하여 CA 및 KRA 키 및 인증서를 저장하려면 HSM에서 생성된 기존 설치를 HSM 기반 설치로 업그레이드할 수 없습니다.

rhel9.example.com 에서 :

  1. 시스템을 최신 RHEL 9 버전으로 업그레이드합니다.

  2. ipa-* 패키지를 최신 버전으로 업데이트합니다. 

    [root@rhel9 ~]# dnf update ipa-*
    Copy to Clipboard Toggle word wrap
    주의

    여러 IdM(Identity Management) 서버를 업그레이드할 때 각 업그레이드 사이에 최소 10분 정도 기다립니다.

    두 개 이상의 서버가 동시에 업그레이드되거나 업그레이드 사이에 짧은 간격만 있는 경우 토폴로지 전체에서 업그레이드 후 데이터 변경을 복제할 시간이 부족하여 복제 이벤트가 충돌할 수 있습니다.

rhel10.example.com 에서 다음을 수행합니다.

  1. 시스템에 최신 버전의 Red Hat Enterprise Linux를 설치합니다. 자세한 내용은 설치 미디어에서 RHEL 상호 작용 설치를 참조하십시오.
  2. 시스템이 rhel9.example.com IdM 서버가 권한이 있는 도메인에 등록된 IdM 클라이언트인지 확인합니다. 자세한 내용은 IdM 클라이언트 설치: 기본 시나리오를 참조하십시오.
  3. 시스템이 IdM 서버 설치 요구 사항을 충족하는지 확인합니다. IdM 서버 설치를 위한 시스템 준비를 참조하십시오.

  4. 시간 서버 rhel9.example.com 이 다음과 동기화되었는지 확인합니다. 

    [root@rhel9 ~]# ntpstat
synchronised to NTP server (ntp.example.com) at stratum 3
   time correct to within 42 ms
   polling server every 1024 s
    Copy to Clipboard Toggle word wrap
  5. 시스템에 IdM 복제본 설치에 대한 권한이 있는지 확인합니다. IdM 클라이언트에 복제본 설치 인증을 참조하십시오.

  6. ipa-* 패키지를 최신 버전으로 업데이트합니다. 

    [root@rhel9 ~]# dnf update ipa-*
    Copy to Clipboard Toggle word wrap

1.2. RHEL 10 복제본 설치
링크 복사

  1. RHEL 9 환경에 있는 서버 역할을 나열합니다. 

    [root@rhel9 ~]# ipa server-role-find --status enabled --server rhel9.example.com
----------------------
3 server roles matched
----------------------
  Server name: rhel9.example.com
  Role name: CA server
  Role status: enabled

  Server name: rhel9.example.com
  Role name: DNS server
  Role status: enabled
[... output truncated ...]
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: rhel9.example.com 에서 사용하는 rhel10.example.com 에 동일한 서버 전달자를 사용하려면 rhel9.example.com 에 대한 서버별 전달자를 확인합니다. 

    [root@rhel9 ~]# ipa dnsserver-show rhel9.example.com
-----------------------------
1 DNS server matched
-----------------------------
  Server name: rhel9.example.com
  SOA mname: rhel9.example.com.
  Forwarders: 192.0.2.20
  Forward policy: only
--------------------------------------------------
Number of entries returned 1
--------------------------------------------------
    Copy to Clipboard Toggle word wrap
  1. CLI 및 CLI를 사용하여 토폴로지 세그먼트 보기 및 웹 UI를 사용하여 복제 토폴로지 보기 또는 토폴로지 접미사 보기의 단계를 사용하여 복제 계약 토폴로지를 검토합니다.

  2. rhel9.example.com 에 있는 모든 서버 역할을 포함하여 rhel10.example.com 에 IdM 서버 소프트웨어를 설치하여 RHEL 9 IdM 서버의 복제본으로 구성합니다. 위의 예에서 역할을 설치하려면 ipa-replica-install 명령과 함께 다음 옵션을 사용합니다.

    • --setup-ca: 인증서 시스템 구성 요소 설정

    • --setup-dns--forwarder: 통합 DNS 서버를 구성하고 IdM 도메인 외부에서 이동하는 DNS 쿼리를 처리하도록 서버별 전달자를 설정합니다.

      참고

      또한 IdM 배포가 {AD}(AD)와의 신뢰 관계에 있는 경우 ipa-replica-install 명령에 --setup-adtrust 옵션을 추가하여 rhel10.example.com 에서 AD 신뢰 기능을 구성합니다.

    • --ntp-server: NTP 서버 풀을 지정할 NTP 서버 또는 --ntp-pool 을 지정합니다.

      IP 주소 192.0.2.20과 함께 서버별 전달자를 사용하는 192.0.2.1의 IP 주소로 IdM 서버를 설정하고 ntp.example.com NTP 서버와 동기화하려면 다음을 수행합니다. 

      [root@rhel10 ~]# ipa-replica-install --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20 --ntp-server ntp.example.com
      Copy to Clipboard Toggle word wrap

      DNS가 올바르게 작동하는 경우 rhel10.example.com 에서 DNS 자동 검색을 사용하여 RHEL 9 IdM 서버 자체를 지정할 필요가 없습니다.

  3. 선택 사항: 외부 NTP 시간 서버의 _ntp._udp 서비스(SRV) 레코드를 새로 설치한 IdM 서버 rhel10.example.com 의 DNS에 추가합니다. IdM DNS에 시간 서버에 대한 SRV 레코드가 있으면 rhel10.example.com 에서 사용하는 시간 서버와 동기화되도록 향후 RHEL 10 복제본 및 클라이언트 설치가 자동으로 구성됩니다. 설치 CLI(명령줄 인터페이스)에 --ntp-server 또는 --ntp-pool 옵션이 제공되지 않는 한 ipa-client-install 에서 _ntp._udp DNS 항목을 찾기 때문입니다.
  4. 웹 UI를 사용하여 두 서버 간에 복제 설정 또는 CLI를 사용하여 두 서버 간 복제 설정 단계를 사용하여 이전 토폴로지를 다시 생성하는 데 필요한 복제 계약을 만듭니다.

검증

  1. IdM 서비스가 rhel10.example.com 에서 실행 중인지 확인합니다. 

    [root@rhel10 ~]# ipactl status
Directory Service: RUNNING
[... output truncated ...]
ipa: INFO: The ipactl command was successful
    Copy to Clipboard Toggle word wrap

  2. rhel10.example.com 의 서버 역할이 rhel9.example.com 과 동일한지 확인합니다. 

    [root@rhel10 ~]# kinit admin
[root@rhel10 ~]# ipa server-role-find --status enabled --server rhel10.example.com
----------------------
2 server roles matched
----------------------
  Server name: rhel10.example.com
  Role name: CA server
  Role status: enabled

  Server name: rhel10.example.com
  Role name: DNS server
  Role status: enabled
    Copy to Clipboard Toggle word wrap

  3. 선택 사항: rhel9.example.comrhel10.example.com 간의 복제 계약에 대한 세부 정보를 표시합니다. 

    [root@rhel10 ~]# ipa-csreplica-manage list --verbose rhel10.example.com
Directory Manager password:

rhel9.example.com
last init status: None
last init ended: 1970-01-01 00:00:00+00:00
last update status: Error (0) Replica acquired successfully: Incremental update succeeded
last update ended: 2019-02-13 13:55:13+00:00
    Copy to Clipboard Toggle word wrap

  4. 선택 사항: IdM 배포가 AD와의 신뢰 관계에 있는 경우 작동하는지 확인합니다.

    1. Kerberos 구성 확인

    2. rhel10.example.com 에서 AD 사용자 확인을 시도합니다. 

      [root@rhel10 ~]# id aduser@ad.domain
      Copy to Clipboard Toggle word wrap

  5. rhel10.example.comNTP 서버와 동기화되었는지 확인합니다. 

    [root@rhel9 ~]# chronyc tracking
Reference ID    : CB00710F (ntp.example.com)
Stratum         : 3
Ref time (UTC)  : Wed Feb 16 09:49:17 2022
[... output truncated ...]
    Copy to Clipboard Toggle word wrap

1.3. RHEL 10 IdM 서버에 CA 갱신 서버 역할 할당
링크 복사

IdM 배포에서 포함된 CA(인증 기관)를 사용하는 경우 CA 갱신 서버 역할을 RHEL(Red Hat Enterprise Linux) 10 IdM 서버에 할당합니다.

rhel10.example.com 에서 rhel10.example.com 을 새 CA 갱신 서버로 구성합니다.

  1. CA 하위 시스템 인증서 갱신을 처리하도록 rhel10.example.com 을 구성합니다. 

    [root@rhel10 ~]# ipa config-mod --ca-renewal-master-server rhel10.example.com
  ...
  IPA masters: rhel9.example.com, rhel10.example.com
  IPA CA servers: rhel9.example.com, rhel10.example.com
  IPA CA renewal master: rhel10.example.com
    Copy to Clipboard Toggle word wrap

    출력은 업데이트가 성공적으로 수행되었음을 확인합니다.

  2. rhel10.example.com 에서 인증서 업데이트기 작업을 활성화합니다.

    1. 편집을 위해 /etc/pki/pki-tomcat/ca/CS.cfg 구성 파일을 엽니다.
    2. ca.certStatusUpdateInterval 항목을 제거하거나 원하는 간격으로 초 단위로 설정합니다. 기본값은 600 입니다.
    3. /etc/pki/pki-tomcat/ca/CS.cfg 구성 파일을 저장하고 닫습니다.

    4. IdM 서비스를 다시 시작합니다. 

      [user@rhel10 ~]$ ipactl restart
      Copy to Clipboard Toggle word wrap

  3. rhel9.example.com 에서 인증서 업데이트기 작업을 비활성화합니다.

    1. 편집을 위해 /etc/pki/pki-tomcat/ca/CS.cfg 구성 파일을 엽니다.

    2. ca.certStatusUpdateInterval0 으로 변경하거나 존재하지 않는 경우 다음 항목을 추가합니다. 

      ca.certStatusUpdateInterval=0
      Copy to Clipboard Toggle word wrap
    3. /etc/pki/pki-tomcat/ca/CS.cfg 구성 파일을 저장하고 닫습니다.

    4. IdM 서비스를 다시 시작합니다. 

      [user@rhel9 ~]$ ipactl restart
      Copy to Clipboard Toggle word wrap

1.4. IdM 서버에서 CRL 생성 중지
링크 복사

IdM CRL 게시자 서버에서 CRL(Certificate Revocation List) 생성을 중지하려면 ipa-crlgen-manage 명령을 사용합니다. 생성을 비활성화하기 전에 서버가 CRL을 실제로 생성하는지 확인합니다. 그런 다음 비활성화할 수 있습니다.

사전 요구 사항

  • root로 로그인해야 합니다.

프로세스

  1. 서버가 CRL을 생성하는지 확인합니다. 

    [root@server ~]# ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful
    Copy to Clipboard Toggle word wrap

  2. 서버에서 CRL 생성을 중지합니다. 

    [root@server ~]# ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful
    Copy to Clipboard Toggle word wrap

  3. 서버가 CRL 생성을 중지했는지 확인합니다. 

    [root@server ~]# ipa-crlgen-manage status
    Copy to Clipboard Toggle word wrap

서버가 CRL 생성을 중지했습니다. 다음 단계는 IdM 복제본에서 CRL 생성을 활성화하는 것입니다.

1.5. 새 RHEL 10 IdM CA 서버에서 CRL 생성 시작
링크 복사

IdM 배포에서 포함된 인증 기관(CA)을 사용하는 경우 새 RHEL(Red Hat Enterprise Linux) 10 IdM CA 서버에서 CRL(Certificate Revocation List) 생성을 시작합니다.

사전 요구 사항

  • rhel10.example.com 시스템에서 root로 로그인해야 합니다.

프로세스

  1. rhel10.example.com 에서 CRL 생성을 시작하려면 ipa-crlgen-manage enable 명령을 사용합니다. 

    [root@rhel10 ~]# ipa-crlgen-manage enable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
Forcing CRL update
CRL generation enabled on the local host. Please make sure to have only a single CRL generation master.
The ipa-crlgen-manage command was successful
    Copy to Clipboard Toggle word wrap

검증

  • CRL 생성이 활성화되어 있는지 확인하려면 ipa-crlgen-manage status 명령을 사용합니다. 

    [root@rhel10 ~]# ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2021-10-31 12:10:00
Last CRL Number: 7
The ipa-crlgen-manage command was successful
    Copy to Clipboard Toggle word wrap

1.6. RHEL 9 서버 중지 및 해제
링크 복사

  1. 최신 변경 사항을 포함한 모든 데이터가 rhel9.example.com 에서 rhel10.example.com 으로 올바르게 마이그레이션되었는지 확인합니다. 예를 들면 다음과 같습니다.

    1. rhel9.example.com 에 새 사용자를 추가합니다. 

      [root@rhel9 ~]# ipa user-add random_user
First name: random
Last name: user
      Copy to Clipboard Toggle word wrap

    2. 사용자가 rhel10.example.com 에 복제되었는지 확인합니다. 

      [root@rhel10 ~]# ipa user-find random_user
--------------
1 user matched
--------------
  User login: random_user
  First name: random
  Last name: user
      Copy to Clipboard Toggle word wrap

  2. DCNA(Distributed Numeric Assignment) ID 범위가 rhel10.example.com 에 할당되었는지 확인합니다. 다음 방법 중 하나를 사용합니다.

    • 다른 테스트 사용자를 생성하여 rhel10.example.com 에서 DNA 플러그인을 직접 활성화합니다. 

      [root@rhel10 ~]# ipa user-add another_random_user
First name: another
Last name: random_user
      Copy to Clipboard Toggle word wrap

    • 특정 DNA ID 범위를 rhel10.example.com 에 할당합니다.

      1. rhel9.example.com 에서 IdM ID 범위를 표시합니다. 

        [root@rhel9 ~]# ipa idrange-find
----------------
3 ranges matched
----------------
  Range name: EXAMPLE.COM_id_range
  First Posix ID of the range: 196600000
  Number of IDs in the range: 200000
  First RID of the corresponding RID range: 1000
  First RID of the secondary RID range: 100000000
  Range type: local domain range
        Copy to Clipboard Toggle word wrap

      2. rhel9.example.com 에서 할당된 DNA ID 범위를 표시합니다. 

        [root@rhel9 ~]# ipa-replica-manage dnarange-show
rhel9.example.com: 196600026-196799999
rhel10.example.com: No range set
        Copy to Clipboard Toggle word wrap

      3. rhel9.example.com 에 할당된 DNA ID 범위를 줄이면 rhel10.example.com 에서 섹션을 사용할 수 있습니다. 

        [root@rhel9 ~]# ipa-replica-manage dnarange-set rhel9.example.com 196600026-196699999
        Copy to Clipboard Toggle word wrap

      4. IdM ID 범위의 나머지 부분을 rhel10.example.com 에 할당합니다. 

        [root@rhel9 ~]# ipa-replica-manage dnarange-set rhel10.example.com 196700000-196799999
        Copy to Clipboard Toggle word wrap

  3. rhel9.example.com 에서 모든 IdM 서비스를 중지하여 도메인 검색을 새 rhel10.example.com 서버로 강제 적용합니다. 

    [root@rhel9 ~]# ipactl stop
Stopping CA Service
Stopping pki-ca:                                           [  OK  ]
Stopping HTTP Service
Stopping httpd:                                            [  OK  ]
Stopping MEMCACHE Service
Stopping ipa_memcached:                                    [  OK  ]
Stopping DNS Service
Stopping named:                                            [  OK  ]
Stopping KPASSWD Service
Stopping Kerberos 5 Admin Server:                          [  OK  ]
Stopping KDC Service
Stopping Kerberos 5 KDC:                                   [  OK  ]
Stopping Directory Service
Shutting down dirsrv:
    EXAMPLE-COM...                                         [  OK  ]
    PKI-IPA...                                             [  OK  ]
    Copy to Clipboard Toggle word wrap

    이 후 ipa 유틸리티는 원격 프로시저 호출(RPC)을 통해 새 서버에 연결합니다.

  4. RHEL 10 서버에서 제거 명령을 실행하여 토폴로지에서 RHEL 9 서버를 제거합니다. 자세한 내용은 IdM 서버 설치 제거를 참조하십시오.

2장. IdM 클라이언트를 RHEL 9에서 RHEL 10으로 업그레이드
링크 복사

leapp 유틸리티를 사용하여 RHEL 9에서 RHEL 10으로 IdM 클라이언트의 인플레이스 업그레이드가 지원되며 툴은 필요한 모든 구성 변경 사항을 자동으로 처리합니다.

그러나 IdM 서버 및 IdM 서버 노드에는 인플레이스 업그레이드가 지원되지 않습니다.

II 부. 외부 소스에서 IdM으로 마이그레이션
링크 복사

RHEL 10 서버의 IdM(Identity Management) 배포로 FreeIPA 배포를 마이그레이션하려면 먼저 기존 FreeIPA 환경에 새 RHEL 10 IdM 인증 기관(CA) 복제본을 추가하고 인증서 관련 역할을 전송한 다음 RHEL FreeIPA가 아닌 서버를 완화해야 합니다.

주의

Convert2RHEL 툴을 사용하여 RHEL 10 IdM 서버로 RHEL FreeIPA 서버가 인플레이스 변환을 수행하는 것은 지원되지 않습니다.

사전 요구 사항

RHEL 10 시스템에서 다음을 수행합니다.

  1. Red Hat Enterprise Linux의 최신 버전이 시스템에 설치되어 있습니다. 자세한 내용은 설치 미디어에서 RHEL 상호 작용 설치를 참조하십시오.
  2. 시스템이 FreeIPA 서버에 권한이 있는 도메인에 등록된 IdM 클라이언트인지 확인합니다. 자세한 내용은 IdM 클라이언트 설치: 기본 시나리오를 참조하십시오.
  3. 시스템이 IdM 서버 설치 요구 사항을 충족하는지 확인합니다. IdM 서버 설치를 위한 시스템 준비를 참조하십시오.
  4. 시스템에 IdM 복제본 설치에 대한 권한이 있는지 확인합니다. IdM 클라이언트에 복제본 설치 인증을 참조하십시오.

RHEL이 아닌 FreeIPA 서버에서 다음을 수행합니다.

  1. 시스템이 동기화되는 시간 서버를 알고 있는지 확인합니다. 

    [root@freeipaserver ~]# ntpstat
synchronised to NTP server (ntp.example.com) at stratum 3
   time correct to within 42 ms
   polling server every 1024 s
    Copy to Clipboard Toggle word wrap

  2. ipa-* 패키지를 최신 버전으로 업데이트합니다. 

    [root@freeipaserver ~]# dnf update ipa-*
    Copy to Clipboard Toggle word wrap

프로세스

  1. 마이그레이션을 수행하려면 RHEL 9 서버에서 RHEL 10 서버로 IdM 환경 마이그레이션과 동일한 절차를 따르십시오. RHEL FreeIPA CA 복제본이 RHEL 9 서버 역할을 합니다.

    1. RHEL 10 서버를 구성하고 RHEL이 아닌 Linux 배포의 현재 FreeIPA 환경에 IdM 복제본으로 추가합니다. 자세한 내용은 RHEL 10 복제본 설치를 참조하십시오.
    2. RHEL 10 복제본을 CA(인증 기관) 갱신 서버로 설정합니다. 자세한 내용은 RHEL 10 IdM 서버에 CA 갱신 서버 역할 할당을 참조하십시오.
    3. RHEL이 아닌 서버에서 CRL(인증서 취소 목록) 생성을 중지하고 CRL 요청을 RHEL 10 복제본으로 리디렉션합니다. 자세한 내용은 RHEL 9 IdM CA 서버에서 CRL 생성 중지를 참조하십시오.
    4. RHEL 10 서버에서 CRL 생성을 시작합니다. 자세한 내용은 새 RHEL 10 IdM CA 서버에서 CRL 생성 시작을 참조하십시오.
    5. RHEL FreeIPA가 아닌 원래 CA 갱신 서버를 중지하고 해제합니다. 자세한 내용은 RHEL 9 서버 중지 및 해제를 참조하십시오.

4장. LDAP 디렉터리에서 IdM으로 마이그레이션
링크 복사

이전에 ID 및 인증 조회를 위해 LDAP 서버를 배포한 경우 조회 서비스를 IdM(Identity Management)으로 마이그레이션할 수 있습니다. IdM은 다음 작업을 수행하는 데 도움이 되는 마이그레이션 툴을 제공합니다.

  • 데이터 손실 없이 암호 및 그룹 멤버십을 포함한 사용자 계정 전송.
  • 클라이언트에서 비용이 많이 드는 구성 업데이트를 방지합니다.

여기에서 설명하는 마이그레이션 프로세스는 LDAP에 하나의 네임스페이스와 IdM에 하나의 네임스페이스가 있는 간단한 배포 시나리오를 가정합니다. 여러 네임스페이스 또는 사용자 지정 스키마가 있는 환경과 같은 더 복잡한 환경의 경우 Red Hat 지원 서비스에 문의하십시오.

4.1. LDAP에서 IdM으로 마이그레이션 시 고려 사항
링크 복사

LDAP 서버에서 IdM(Identity Management)으로 이동하는 프로세스에는 다음과 같은 단계가 있습니다.

  • 클라이언트 마이그레이션 . 이 단계를 신중하게 계획하십시오. 현재 인프라의 각 클라이언트에서 사용하는 서비스를 확인합니다. 여기에는 Kerberos 또는 SSSD(System Security Services Daemon)가 포함될 수 있습니다. 그런 다음 최종 IdM 배포에 사용할 수 있는 서비스를 확인합니다. 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 클라이언트 구성 계획을 참조하십시오.
  • 데이터 마이그레이션 .
  • 암호 마이그레이션 . 이 단계를 신중하게 계획하십시오. IdM에는 암호 외에도 모든 사용자 계정에 대해 Kerberos 해시가 필요합니다. 암호에 대한 몇 가지 고려 사항 및 마이그레이션 경로는 LDAP에서 IdM로 마이그레이션할 때 암호 마이그레이션 계획에서 다룹니다.

먼저 서버 부분을 마이그레이션한 다음 클라이언트 또는 먼저 클라이언트 및 서버를 마이그레이션할 수 있습니다. 두 가지 마이그레이션 유형에 대한 자세한 내용은 LDAP에서 IdM 마이그레이션 시퀀스를 참조하십시오.

중요

실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 환경을 테스트할 때 다음을 수행합니다.

  1. IdM에 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스 세트가 포함되어 있는지 확인합니다.
  2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.

4.2. LDAP에서 IdM으로 마이그레이션할 때 클라이언트 구성 계획
링크 복사

IdM(Identity Management)은 다양한 기능, 유연성 및 보안을 통해 다양한 클라이언트 구성을 지원할 수 있습니다. 운영 체제 및 IT 유지 관리 우선 순위에 따라 각 클라이언트에 가장 적합한 구성을 결정합니다. 클라이언트의 기능 영역도 고려하십시오. 개발 시스템에는 일반적으로 프로덕션 서버 또는 사용자 랩탑과 다른 구성이 필요합니다.

중요

대부분의 환경에는 클라이언트가 IdM 도메인에 연결하는 다양한 방법이 혼합되어 있습니다. 관리자는 각 개별 클라이언트에 가장 적합한 시나리오를 결정해야 합니다.

4.2.1. 마이그레이션 전 초기 클라이언트 구성
링크 복사

IdM(Identity Management)의 클라이언트 구성 세부 사항을 결정하기 전에 먼저 현재 마이그레이션 전 구성의 세부 사항을 설정합니다.

마이그레이션해야 하는 거의 모든 LDAP 배포의 초기 상태는 ID 및 인증 서비스를 제공하는 LDAP 서비스가 있다는 것입니다.

그림 4.1. 기본 LDAP 디렉토리 및 클라이언트 구성

IPA 마이그레이션 초기 상태
View larger image
IPA 마이그레이션 초기 상태

Linux 및 Unix 클라이언트는 PAM_LDAP 및 NSS_LDAP 라이브러리를 사용하여 LDAP 서비스에 직접 연결합니다. 이러한 라이브러리를 사용하면 클라이언트가 /etc/passwd 또는 /etc/shadow 에 데이터가 저장된 것처럼 LDAP 디렉터리에서 사용자 정보를 검색할 수 있습니다. 클라이언트가 ID 조회에 LDAP를 사용하고 Kerberos를 인증 또는 기타 구성에 사용하는 경우 실제 환경에서는 인프라가 더 복잡할 수 있습니다.

IdM(Identity Management) 서버는 특히 스키마 지원 및 디렉터리 트리 구조에서 LDAP 디렉터리와 다릅니다. 이러한 차이점에 대한 자세한 내용은 Introduction to IdM 의 Standard LDAP Directory를 사용하여 IdM 통합 섹션을 참조하십시오.

4.2.3. 지원되는 대체 구성
링크 복사

Mac, Solaris, HP- Cryostat, AIX 및 Scientific Linux와 같은 UNIX 및 Linux 시스템은 IdM(Identity Management)에서 관리하지만 SSSD를 사용하지 않는 모든 서비스를 지원합니다. 마찬가지로 이전 RHEL(Red Hat Enterprise Linux) 버전, 특히 6.1 및 5.6은 SSSD를 지원하지만, 이전 버전은 ID 공급자로 IdM을 지원하지 않습니다.

시스템에서 최신 버전의 SSSD를 사용할 수 없는 경우 다음과 같은 방식으로 클라이언트를 구성할 수 있습니다.

  • 클라이언트는 nss_ldap 를 사용하여 ID 조회의 LDAP 디렉터리 서버인 것처럼 IdM 서버에 연결합니다.
  • 클라이언트는 pam_krb5 를 사용하여 일반 Kerberos KDC인 것처럼 IdM 서버에 연결합니다.

IdM 서버를 ID 공급자로 사용하도록 이전 버전의 SSSD로 RHEL 클라이언트를 구성하는 방법에 대한 자세한 내용은 RHEL 7 시스템 수준 인증 가이드의 SSSD 섹션에 대한 ID 및 인증 공급자 구성 섹션을 참조하십시오.

그림 4.3. LDAP 및 Kerberos를 사용하는 클라이언트 및 IdM

migr ldap
View larger image
migr ldap

일반적으로 클라이언트에 가능한 가장 안전한 구성을 사용하는 것이 좋습니다. 이는 인증을 위한 SSSD 또는 LDAP ID 및 Kerberos를 의미합니다. 그러나 일부 유지 관리 상황 및 IT 구조의 경우 가능한 가장 간단한 시나리오에 사용해야 할 수 있습니다. 클라이언트에서 nss_ldappam_ldap 라이브러리를 사용하여 ID와 인증을 모두 제공하도록 LDAP를 구성합니다.

4.3. LDAP에서 IdM으로 마이그레이션할 때 암호 마이그레이션 계획
링크 복사

사용자를 LDAP에서 IdM(Identity Management)으로 마이그레이션하기 전에 응답해야 하는 중요한 질문은 사용자 암호를 마이그레이션할지 여부입니다. 다음 옵션을 사용할 수 있습니다.

암호가 없는 사용자 마이그레이션

더 빠르게 수행할 수 있지만 관리자와 사용자가 더 많은 수동 작업이 필요합니다. 경우에 따라 사용할 수 있는 유일한 옵션입니다. 예를 들어 원래 LDAP 환경이 일반 텍스트 사용자 암호를 저장하거나 암호IdM에 정의된 암호 정책 요구 사항을 충족하지 않는 경우 .

암호 없이 사용자 계정을 마이그레이션하는 경우 모든 사용자 암호를 재설정합니다. 마이그레이션된 사용자에게는 첫 번째 로그인 시 변경되는 임시 암호가 할당됩니다. 암호를 재설정하는 방법에 대한 자세한 내용은 RHEL 7 IdM 설명서에서 사용자 암호 변경 및 재설정 을 참조하십시오.

암호를 사용하여 사용자 마이그레이션

더 원활한 전환을 제공하지만 마이그레이션 및 전환 프로세스 중에 LDAP 디렉터리 및 IdM을 병렬 관리해야 합니다. 기본적으로 IdM은 인증에 Kerberos를 사용하고 각 사용자에게 표준 사용자 암호 외에도 IdM 디렉터리 서버에 저장된 Kerberos 해시가 있어야 하기 때문입니다. 해시를 생성하려면 IdM 서버에서 사용자 암호를 일반 텍스트로 사용할 수 있어야 합니다. 새 사용자 암호를 생성할 때 IdM에 해시하고 저장하기 전에 암호를 일반 텍스트로 사용할 수 있습니다. 그러나 사용자가 LDAP 디렉터리에서 마이그레이션되면 연결된 사용자 암호가 이미 해시되므로 해당 Kerberos 키를 생성할 수 없습니다.

중요

기본적으로 사용자는 사용자 계정이 이미 존재하는 경우에도 IdM 도메인에 인증하거나 IdM 리소스에 액세스할 수 없습니다. 한 가지 해결 방법은 Kerberos 인증 대신 IdM에서 LDAP 인증을 사용하는 것입니다. 이 해결 방법을 사용하면 사용자에게 Kerberos 해시가 필요하지 않습니다. 그러나 이 해결방법은 IdM의 기능을 제한하며 권장되지 않습니다.

다음 섹션에서는 사용자와 암호를 마이그레이션하는 방법을 설명합니다.

사용자가 암호를 변경하도록 강제 적용하지 않고 LDAP에서 IdM(Identity Management)으로 사용자 계정을 마이그레이션하려면 다음 방법을 사용할 수 있습니다.

방법 1: 마이그레이션 웹 페이지 사용

사용자에게 IdM 웹 UI https://ipaserver.example.com/ipa/migration 의 특수 페이지에 한 번 LDAP 인증 정보를 입력하도록 지시합니다. 백그라운드에서 실행되는 스크립트는 일반 텍스트 암호를 캡처하고 사용자 계정을 암호 및 적절한 Kerberos 해시로 올바르게 업데이트합니다.

방법 2(권장): SSSD 사용

SSSD(System Security Services Daemon)를 사용하여 필요한 사용자 키를 생성하여 마이그레이션의 사용자 영향을 완화합니다. 많은 사용자가 있거나 사용자가 암호 변경에 부담을 주지 않아야 하는 경우 이 시나리오가 가장 좋습니다.

워크플로

  1. 사용자가 SSSD를 사용하여 시스템에 로그인하려고 합니다.
  2. SSSD는 IdM 서버에 대해 Kerberos 인증을 수행하려고 합니다.
  3. 사용자가 시스템에 존재하지만 Kerberos 해시가 아직 존재하지 않기 때문에 오류 키 유형으로 인증이 실패합니다.
  4. SSSD는 보안 연결을 통해 일반 텍스트 LDAP 바인딩을 수행합니다.
  5. IdM은 이 바인드 요청을 인터셉트합니다. 사용자에게 Kerberos 해시가 있지만 Kerberos 해시가 없는 경우 IdM ID 공급자는 해시를 생성하여 사용자 항목에 저장합니다.
  6. 인증이 성공하면 SSSD에서 IdM의 연결을 해제하고 Kerberos 인증을 다시 시도합니다. 이번에는 해시가 항목에 있기 때문에 요청이 성공합니다.

방법 2에서는 전체 프로세스가 사용자에게 표시되지 않습니다. 암호가 LDAP에서 IdM으로 이동되었음을 알리지 않고 클라이언트 서비스에 로그인합니다.

4.3.2. 일반 텍스트 LDAP 암호 마이그레이션 계획
링크 복사

대부분의 배포에서는 LDAP 암호가 암호화된 상태로 저장되지만 일부 사용자 또는 사용자 항목에 일반 텍스트 암호를 사용하는 일부 환경이 있을 수 있습니다.

사용자가 LDAP 서버에서 IdM 서버로 마이그레이션되면 IdM에서 일반 텍스트 암호를 허용하지 않기 때문에 일반 텍스트 암호가 마이그레이션되지 않습니다. 대신 각 사용자에 대해 Kerberos 주체가 생성되고 keytab이 true로 설정되고 암호가 expired로 설정됩니다. 즉, IdM을 사용하려면 다음 로그인 시 사용자가 암호를 재설정해야 합니다. 자세한 내용은 IdM 요구 사항을 충족하지 않는 LDAP 암호 마이그레이션 계획을 참조하십시오.

4.3.3. IdM 요구 사항을 충족하지 않는 LDAP 암호 마이그레이션 계획
링크 복사

원래 디렉터리의 사용자 암호가 IdM(Identity Management)에 정의된 암호 정책을 충족하지 않으면 마이그레이션 후 암호가 유효하지 않습니다.

사용자가 kinit 를 입력하여 IdM 도메인에서 Kerberos 티켓(TGT)을 처음 받을 때 암호 재설정이 자동으로 수행됩니다. 사용자는 암호를 변경해야 합니다. 

[migrated_idm_user@idmclient ~]$ kinit
Password for migrated_idm_user@IDM.EXAMPLE.COM:
Password expired.  You must change it now.
Enter new password:
Enter it again:
Copy to Clipboard Toggle word wrap

4.4. 추가 마이그레이션 고려 사항 및 요구 사항
링크 복사

LDAP 서버에서 IdM(Identity Management)으로 마이그레이션을 계획 중이므로 LDAP 환경이 IdM 마이그레이션 스크립트를 사용하여 작업할 수 있는지 확인합니다.

4.4.1. 마이그레이션에 지원되는 LDAP 서버
링크 복사

LDAP 서버의 마이그레이션 프로세스에서 IdM으로의 마이그레이션 프로세스는 특수 스크립트인 ipa migrate-ds 를 사용하여 마이그레이션을 수행합니다. 이 스크립트는 LDAP 디렉터리 및 LDAP 항목의 구조에 대한 특정 요구 사항이 있습니다. 마이그레이션은 몇 가지 공통 디렉터리를 포함하는 LDAPv3 호환 디렉터리 서비스에서만 지원됩니다.

  • Sun ONE Directory Server
  • Apache Directory Server
  • OpenLDAP

LDAP 서버에서 IdM으로의 마이그레이션은 Red Hat Directory Server 및 OpenLDAP에서 테스트되었습니다.

참고

마이그레이션 스크립트를 사용한 마이그레이션은 LDAPv3 호환 디렉터리가 아니므로 Microsoft Active Directory에서 지원되지 않습니다. Active Directory에서 마이그레이션하는 데 도움이 필요하면 Red Hat Professional Services에 문의하십시오.

4.4.2. 마이그레이션을 위한 LDAP 환경 요구 사항
링크 복사

LDAP 서버와 IdM(Identity Management)에 사용할 수 있는 다양한 구성 시나리오가 있으며 마이그레이션 프로세스의 원활함에 영향을 미칩니다. 마이그레이션 절차의 예는 환경에 대한 가정입니다.

  • 단일 LDAP 디렉터리 도메인이 하나의 IdM 영역으로 마이그레이션되고 있습니다. 통합은 포함되지 않습니다.
  • 사용자 암호는 LDAP 디렉터리에 해시로 저장됩니다. 지원되는 해시 목록은 Red Hat Directory Server 설명서의 Red Hat Directory Server 10 섹션에서 제공되는 구성, 명령 및 파일 참조 제목의 암호 스토리지 스키마 섹션을 참조하십시오.
  • LDAP 디렉터리 인스턴스는 ID 저장소와 인증 방법 둘 다입니다. 클라이언트 시스템은 pam_ldap 또는 nss_ldap 라이브러리를 사용하여 LDAP 서버에 연결하도록 구성됩니다.
  • 항목은 표준 LDAP 스키마만 사용합니다. 사용자 정의 오브젝트 클래스 또는 속성이 포함된 항목은 IdM으로 마이그레이션되지 않습니다.

  • ipa migrate-ds 명령은 다음 계정만 마이그레이션합니다.

    • gidNumber 속성이 포함된 사용자입니다. 속성은 posixAccount 오브젝트 클래스에 필요합니다.
    • sn 속성이 포함된 사용자입니다. 이 속성은 person 오브젝트 클래스에 필요합니다.
참고

일반 LDAP는 OU(조직 단위)를 사용하여 중첩 구조를 크게 지원합니다. 이를 통해 LDAP 디렉터리를 여러 수준의 OU, 그룹 및 사용자로 계층적으로 구조화할 수 있습니다. RHEL IdM에서는 모든 사용자가 cn=users,cn=accounts,$SUFFIX 플랫 사용자 컨테이너에 저장된 RHEL IdM에서는 이 수준의 계층 구조를 사용할 수 없습니다. 따라서 깊이 중첩된 구조가 있는 LDAP 데이터베이스를 RHEL IdM으로 마이그레이션할 때 다음과 같은 선택 사항이 있습니다.

  • 다른 OU의 사용자에 대해 여러 마이그레이션을 수행합니다.
  • 하위 트리 검색을 수행하여 여러 OU를 포함합니다.

이러한 옵션에 대한 자세한 내용은 ipa migrate-ds --help 를 참조하십시오.

4.4.3. 마이그레이션을 위한 IdM 시스템 요구 사항
링크 복사

약 10,000명의 사용자 및 10개의 그룹의 중간 크기의 디렉터리를 사용하면 마이그레이션을 진행할 수 있는 충분한 대상 IdM 시스템이 있어야 합니다. 마이그레이션의 최소 요구 사항은 다음과 같습니다.

  • 4개의 코어
  • 4GB RAM
  • 30GB의 디스크 공간

  • IdM 서버의 기본값인 2MB의 SASL 버퍼 크기

    마이그레이션 오류의 경우 버퍼 크기를 늘립니다. 

    [root@ipaserver ~]# ldapmodify -x -D 'cn=directory manager' -w password -h ipaserver.example.com -p 389

dn: cn=config
changetype: modify
replace: nsslapd-sasl-max-buffer-size
nsslapd-sasl-max-buffer-size: 4194304

modifying entry "cn=config"
    Copy to Clipboard Toggle word wrap

    nsslapd-sasl-max-buffer-size 값을 바이트 단위로 설정합니다.

4.4.4. 사용자 및 그룹 ID 번호
링크 복사

LDAP에서 IdM 배포로 마이그레이션하는 경우 배포 간에 UID(사용자 ID) 및 그룹 ID(GID) 충돌이 없는지 확인합니다. 마이그레이션 전에 다음을 확인합니다.

  • LDAP ID 범위를 알고 있습니다.
  • IdM ID 범위를 알고 있습니다.
  • LDAP 서버의 UID와 GID와 RHEL 시스템 또는 IdM 배포의 기존 UID 또는 GID 간에 겹치는 항목이 없습니다.

  • 마이그레이션된 LDAP UID 및 GID는 IdM ID 범위에 적합합니다.

    • 필요한 경우 마이그레이션 전에 새 IdM ID 범위를 생성합니다.

4.4.5. sudo 규칙에 대한 고려 사항
링크 복사

LDAP와 함께 sudo 를 사용하는 경우 LDAP에 저장된 sudo 규칙을 IdM(Identity Management)으로 수동으로 마이그레이션해야 합니다. IdM에서 netgroups를 호스트 그룹으로 다시 생성하는 것이 좋습니다. IdM은 SSSD sudo 공급자를 사용하지 않는 sudo 구성의 기존 netgroups로 자동으로 호스트 그룹을 제공합니다.

4.4.6. LDAP에서 IdM로의 마이그레이션 툴
링크 복사

IdM(Identity Management)은 특정 명령인 ipa migrate-ds 를 사용하여 마이그레이션 프로세스를 실행하여 LDAP 디렉터리 데이터를 올바르게 포맷하고 IdM 서버로 가져옵니다. ipa migrate-ds 를 사용하는 경우 --bind-dn 옵션으로 지정한 원격 시스템 사용자는 userPassword 속성에 대한 읽기 액세스 권한이 있어야 합니다. 그러지 않으면 암호가 마이그레이션되지 않습니다.

IdM 서버를 마이그레이션 모드에서 실행하도록 구성한 다음 마이그레이션 스크립트를 사용할 수 있습니다. 자세한 내용은 LDAP 서버를 IdM으로 마이그레이션을 참조하십시오.

4.4.7. LDAP에서 IdM 마이그레이션 성능 개선
링크 복사

LDAP 마이그레이션은 기본적으로 IdM 서버 내의 389 Directory Server(DS) 인스턴스에 대한 특수 가져오기 작업입니다. 가져오기 작업 성능을 개선하기 위해 389 DS 인스턴스를 튜닝하면 전체 마이그레이션 성능을 향상시킬 수 있습니다.

가져오기 성능에 직접적인 영향을 미치는 매개변수는 다음 두 가지가 있습니다.

  • 항목 캐시에 허용되는 크기를 정의하는 nsslapd-cachememsize 속성입니다. 이는 총 캐시 메모리 크기의 80%로 자동 설정된 버퍼입니다. 대규모 가져오기 작업의 경우 이 매개변수와 메모리 캐시 자체를 늘릴 수 있습니다. 이렇게 늘리면 많은 수의 항목이 큰 특성을 가진 항목 또는 항목을 처리할 때 디렉터리 서비스의 효율성이 향상됩니다.

    dsconf 명령을 사용하여 속성을 수정하는 방법에 대한 자세한 내용은 IdM Directory Server의 항목 캐시 크기 조정을 참조하십시오.

  • system ulimit 구성 옵션은 시스템 사용자에 대해 허용되는 최대 프로세스 수를 설정합니다. 큰 데이터베이스를 처리하면 제한을 초과할 수 있습니다. 이 경우 값을 늘립니다. 

    [root@server ~]# ulimit -u 4096
    Copy to Clipboard Toggle word wrap

4.4.8. LDAP에서 IdM로의 마이그레이션 순서
링크 복사

IdM으로 마이그레이션할 때는 네 가지 주요 단계가 있지만, 해당 순서는 서버 또는 클라이언트를 처음 마이그레이션할지 여부에 따라 달라집니다.

중요

클라이언트 우선 및 서버 우선 마이그레이션 모두 일반적인 마이그레이션 절차를 제공하지만 모든 환경에서 작동하지 않을 수 있습니다. 실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트합니다.

클라이언트 우선 마이그레이션

SSSD는 IdM(Identity Management) 서버가 구성된 동안 클라이언트 구성을 변경하는 데 사용됩니다.

  1. SSSD를 배포합니다.
  2. 클라이언트를 재구성하여 현재 LDAP 서버에 연결한 다음 IdM으로 페일오버합니다.
  3. IdM 서버를 설치합니다.
  4. IdM ipa migrate-ds 스크립트를 사용하여 사용자 데이터를 마이그레이션합니다. 이 명령은 LDAP 디렉터리에서 데이터를 내보내고 IdM 스키마의 형식을 내보낸 다음 IdM으로 가져옵니다.
  5. LDAP 서버를 오프라인 상태로 전환하여 클라이언트가 IdM으로 투명하게 장애 조치를 취할 수 있습니다.
서버 우선 마이그레이션

IdM 마이그레이션으로 LDAP가 먼저 수행됩니다.

  1. IdM 서버를 설치합니다.
  2. IdM ipa migrate-ds 스크립트를 사용하여 사용자 데이터를 마이그레이션합니다. 이 명령은 LDAP 디렉터리에서 데이터를 내보내고 IdM 스키마에 대해 포맷한 다음 IdM으로 가져옵니다.
  3. 선택 사항: SSSD를 배포합니다.

  4. IdM에 연결하도록 클라이언트를 재구성합니다. LDAP 서버를 간단히 교체할 수 없습니다. IdM 디렉터리 트리 및 따라서 사용자 항목 DNs는 이전 디렉터리 트리와 다릅니다.

    클라이언트를 재구성해야 하지만 클라이언트를 즉시 재구성할 필요는 없습니다. 업데이트된 클라이언트는 다른 클라이언트가 이전 LDAP 디렉터리를 가리키는 동안 IdM 서버를 가리킬 수 있으므로 데이터를 마이그레이션한 후 적절한 테스트 및 전환 단계를 수행할 수 있습니다.

    참고

    LDAP 디렉터리 서비스와 IdM 서버를 병렬로 모두 실행하지 마십시오. 이로 인해 두 서비스 간에 사용자 데이터가 일관되지 않을 위험이 발생합니다.

4.5. LDAP에서 IdM으로 마이그레이션 사용자 정의
링크 복사

ipa migrate-ds 명령을 사용하여 LDAP 서버에서 IdM(Identity Management)으로 인증 및 권한 부여 서비스를 마이그레이션할 수 있습니다. 추가 옵션 없이 명령은 디렉터리의 LDAP URL을 사용하여 일반적인 기본 설정을 기반으로 데이터를 마이그레이션하고 내보냅니다.

다른 ipa migrate-ds 명령 옵션을 사용하여 마이그레이션 프로세스 및 데이터를 식별하고 내보내는 방법을 사용자 지정할 수 있습니다. LDAP 디렉터리 트리에 고유한 구조가 있거나 항목 내의 특정 항목 또는 속성을 제외해야 하는 경우 마이그레이션을 사용자 지정합니다.

ipa migrate-ds 명령을 사용하여 LDAP에서 IdM(Identity Management)으로 마이그레이션합니다. 추가 옵션 없이 명령은 디렉터리의 LDAP URL을 사용하여 일반적인 기본 설정을 기반으로 데이터를 마이그레이션하고 내보냅니다. 다음은 기본 설정을 수정하는 예입니다. 

# ipa migrate-ds ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap
바인딩 DN 사용자 정의

기본적으로 DN "cn=Directory Manager"는 원격 LDAP 디렉터리에 바인딩하는 데 사용됩니다. --bind-dn 옵션을 사용하여 사용자 정의 바인딩 DN을 지정합니다. 

# ipa migrate-ds ldap://ldap.example.com:389 --bind-dn=cn=Manager,dc=example,dc=com
Copy to Clipboard Toggle word wrap
이름 지정 컨텍스트 사용자 정의

LDAP 서버 이름 지정 컨텍스트가 IdM에 사용된 것과 다른 경우 오브젝트의 기본 DN이 변환됩니다. 예: uid=user,ou=people,dc=ldap,dc=example,dc=example,dc=comuid=user,ou=people,dc=idm,dc=example,dc=com 으로 마이그레이션됩니다. --base-dn 옵션을 사용하여 컨테이너 하위 트리의 대상을 변경하여 마이그레이션을 위해 원격 LDAP 서버에서 사용되는 기본 DN을 설정할 수 있습니다. 

# ipa migrate-ds --base-dn="ou=people,dc=example,dc=com" ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

4.5.2. 특정 하위 트리 마이그레이션
링크 복사

기본 디렉터리 구조는 ou=People 하위 트리에 사람 항목을 배치하고 ou=Groups 하위 트리의 그룹 항목을 배치합니다. 이러한 하위 트리는 다양한 유형의 디렉터리 데이터의 컨테이너 항목입니다. migrate-ds 명령과 함께 옵션을 사용하지 않는 경우 유틸리티는 지정된 LDAP 디렉터리에서 ou=Peopleou=Groups 구조를 사용한다고 가정합니다.

많은 배포에는 완전히 다른 디렉터리 구조가 있거나 원래 디렉터리 트리의 특정 부분만 내보낼 수 있습니다. 관리자는 다음 옵션을 사용하여 소스 LDAP 서버의 다른 사용자 또는 그룹 하위 트리의 RDN을 지정할 수 있습니다.

  • --user-container
  • --group-container
참고

두 경우 모두 하위 트리는 상대 고유 이름(RDN)이어야 하며 기본 DN을 기준으로 합니다. 예를 들어 --user-container =ou=ou=ous,dc=example,dc=com 디렉터리 트리를 마이그레이션할 수 있습니다.

예를 들면 다음과 같습니다. 

[ipaserver ~]# ipa migrate-ds --user-container=ou=employees \
--group-container="ou=employee groups" ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

선택적으로 ipa migrate-ds 명령에 --scope 옵션을 추가하여 범위를 설정합니다.

  • onelevel: default. 지정된 컨테이너의 항목만 마이그레이션됩니다.
  • 하위 트리: 지정된 컨테이너의 항목 및 모든 하위 컨테이너가 마이그레이션됩니다.
  • base: 지정된 오브젝트 자체만 마이그레이션됩니다.

4.5.3. 항목 포함 및 제외
링크 복사

기본적으로 ipa migrate-ds 스크립트는 person 오브젝트 클래스와 groupOfUniqueNames 또는 groupOfNames 오브젝트 클래스가 있는 모든 사용자 항목을 가져옵니다.

일부 마이그레이션 경로에서는 특정 유형의 사용자 및 그룹만 내보내거나 또는 특정 사용자 및 그룹을 제외해야 할 수 있습니다. 사용자 또는 그룹 항목을 찾을 때 검색할 개체 클래스를 설정하여 포함할 사용자 및 그룹 유형을 선택할 수 있습니다.

이 옵션은 다양한 사용자 유형에 사용자 지정 오브젝트 클래스를 사용할 때 특히 유용합니다. 예를 들어 다음 명령은 사용자 정의 fullTime Cryostat 오브젝트 클래스가 있는 사용자만 마이그레이션합니다. 

[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

다양한 유형의 그룹으로 인해 사용자 그룹과 같은 특정 유형의 그룹 만 마이그레이션하는 경우에도 인증서 그룹과 같은 다른 유형의 그룹을 제외하는 데 매우 유용합니다. 예를 들면 다음과 같습니다. 

[root@ipaserver ~]# ipa migrate-ds --group-objectclass=groupOfNames --group-objectclass=groupOfUniqueNames ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

오브젝트 클래스를 기반으로 마이그레이션할 사용자 및 그룹 항목을 지정하면 기타 모든 사용자와 그룹이 마이그레이션에서 암시적으로 제외됩니다.

또는 작은 항목만 제외하고 모든 사용자 및 그룹 항목을 마이그레이션하는 것이 유용할 수 있습니다. 해당 유형의 다른 모든 항목을 마이그레이션하는 동안 특정 사용자 또는 그룹 계정을 제외할 수 있습니다. 예를 들어, hobbies 그룹과 두 사용자만 제외됩니다. 

[root@ipaserver ~]# ipa migrate-ds --exclude-groups="Golfers Group" --exclude-users=idmuser101 --exclude-users=idmuser102 ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

exclude 설명은 uid 의 패턴과 일치하는 사용자 및 cn 속성에서 일치하는 그룹에 적용됩니다.

일반 오브젝트 클래스를 마이그레이션할 수 있지만 해당 클래스의 특정 항목은 제외할 수 있습니다. 예를 들어, 이는 구체적으로 fullTime Cryostat 오브젝트 클래스 를 사용하는 사용자를 포함하지만 세 가지 관리자는 제외합니다. 

[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee --exclude-users=jsmith --exclude-users=bjensen --exclude-users=mreynolds ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

4.5.4. 항목 특성 제외
링크 복사

기본적으로 사용자 또는 그룹 항목의 모든 특성 및 오브젝트 클래스가 마이그레이션됩니다. 특정 시나리오에서는 대역폭 및 네트워크 제약 조건으로 인해 또는 특성 데이터가 더 이상 관련이 없기 때문에 비현실적이지 않을 수 있습니다. 예를 들어 사용자가 IdM(Identity Management) 도메인에 참여할 때 새 사용자 인증서를 할당하려는 경우 userCertificate 특성을 마이그레이션하는 것은 쓸모 없게 됩니다.

migrate-ds 명령과 함께 다음 옵션을 사용하여 특정 오브젝트 클래스 및 속성을 무시할 수 있습니다.

  • --user-ignore-objectclass
  • --user-ignore-attribute
  • --group-ignore-objectclass
  • --group-ignore-attribute

예를 들어 사용자의 userCertificate 속성 및 strongAuthenticationUser 오브젝트 클래스와 그룹의 groupOfCertificates 오브젝트 클래스를 제외하려면 다음을 수행합니다. 

[root@ipaserver ~]# ipa migrate-ds --user-ignore-attribute=userCertificate --user-ignore-objectclass=strongAuthenticationUser --group-ignore-objectclass=groupOfCertificates ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap
참고

필수 속성을 무시하지 않도록 합니다. 또한 오브젝트 클래스를 제외할 때는 해당 오브젝트 클래스에서만 지원하는 특성을 제외해야 합니다.

IdM(Identity Management)은 RFC2307bis 스키마를 사용하여 사용자, 호스트, 호스트 그룹 및 기타 네트워크 ID를 정의합니다. 그러나 마이그레이션 소스로 사용된 LDAP 서버가 RFC2307 스키마를 사용하는 경우 ipa migrate-ds 명령을 사용하여 --schema 옵션을 지정합니다. 

[root@ipaserver ~]# ipa migrate-ds --schema=RFC2307 ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap

또는 IdM에 RFC2307bis를 지원하지 않는 시스템의 데이터를 다시 포맷할 수 있는 기본 제공 스키마 compat 기능이 있습니다. compat 플러그인은 기본적으로 활성화되어 있습니다. 즉, 디렉터리 서버가 사용자 및 그룹의 대체 보기를 계산하고 cn=users,cn=compat,dc=example,dc=com 컨테이너 항목에 이 뷰를 제공합니다. 이를 통해 시작 시 해당 항목의 내용을 사전 계산하고 필요에 따라 항목을 새로 고칩니다.

이 기능은 마이그레이션 중에 시스템 오버헤드를 줄이는 것이 좋습니다.

4.6. LDAP 서버를 IdM으로 마이그레이션
링크 복사

ipa migrate-ds 명령을 사용하여 LDAP 서버에서 IdM(Identity Management)으로 인증 및 권한 부여 서비스를 마이그레이션할 수 있습니다.

주의

이는 모든 환경에서 작동하지 않을 수 있는 일반적인 마이그레이션 절차입니다.

실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 환경을 테스트할 때 다음을 수행합니다.

  1. IdM에 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다.
  2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다.

자세한 내용은 아래 확인 섹션을 참조하십시오.

사전 요구 사항

프로세스

  1. IdM이 아직 설치되지 않은 경우: 사용자 지정 LDAP 디렉터리 스키마를 포함하여 기존 LDAP 디렉터리가 설치된 것과 다른 머신에 IdM 서버를 설치합니다. 자세한 내용은 Identity Management 설치를 참조하십시오.

    참고

    사용자 정의 사용자 또는 그룹 스키마는 IdM에서 지원이 제한됩니다. 호환되지 않는 오브젝트 정의로 인해 마이그레이션 중에 문제가 발생할 수 있습니다.

  2. 성능상의 이유로 compat 플러그인을 비활성화합니다. 

    # ipa-compat-manage disable
    Copy to Clipboard Toggle word wrap

    스키마 호환성 기능 및 마이그레이션을 위해 비활성화할 때의 이점에 대한 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 사용할 스키마 및 스키마 호환성 기능을 참조하십시오.

  3. IdM Directory Server 인스턴스를 다시 시작합니다. 

    # systemctl restart dirsrv.target
    Copy to Clipboard Toggle word wrap

  4. 마이그레이션을 허용하도록 IdM 서버를 구성합니다. 

    # ipa config-mod --enable-migration=TRUE
    Copy to Clipboard Toggle word wrap

    --enable-migration 을 TRUE로 설정하면 다음을 수행합니다.

  5. 사용 사례와 관련된 옵션을 사용하여 IdM 마이그레이션 스크립트인 ipa migrate-ds 를 실행합니다. 자세한 내용은 LDAP에서 IdM으로 마이그레이션 사용자 지정을 참조하십시오. 

    # ipa migrate-ds --your-options ldap://ldap.example.com:389
    Copy to Clipboard Toggle word wrap
    참고

    이전 단계 중 하나에서 compat 플러그인을 비활성화하지 않은 경우 ipa migrate-ds--with-compat 옵션을 추가합니다. 

    # ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389
    Copy to Clipboard Toggle word wrap

  6. compat 플러그인을 다시 활성화합니다. 

    # ipa-compat-manage enable
    Copy to Clipboard Toggle word wrap

  7. IdM 디렉터리 서버를 다시 시작합니다. 

    # systemctl restart dirsrv.target
    Copy to Clipboard Toggle word wrap

  8. 모든 사용자가 암호를 마이그레이션한 경우 마이그레이션 모드를 비활성화합니다. 

    # ipa config-mod --enable-migration=FALSE
    Copy to Clipboard Toggle word wrap
  9. 선택 사항: 모든 사용자가 마이그레이션된 경우 LDAP 인증 대신 pam_krb5인 pam_krb5 인증을 사용하도록 SSSD 이외의 클라이언트를 재구성 하십시오. 자세한 내용은 RHEL 7 시스템 수준 인증 가이드의 Kerberos 클라이언트 구성 을 참조하십시오.

  10. 사용자가 해시된 Kerberos 암호를 생성하도록 합니다. LDAP에서 IdM으로 마이그레이션할 때 계획 암호 마이그레이션 에 설명된 방법 중 하나를 선택합니다.

    • SSSD 방법을 결정하는 경우:

      • LDAP 디렉터리에서 IdM 디렉터리로 SSSD가 설치된 클라이언트를 IdM 디렉터리에 이동하고 IdM에 클라이언트로 등록합니다. 이렇게 하면 필요한 키와 인증서가 다운로드됩니다.

        Red Hat Enterprise Linux 클라이언트에서는 ipa-client-install 명령을 사용하여 이 작업을 수행할 수 있습니다. 예를 들면 다음과 같습니다. 

        # ipa-client-install --enable-dns-update
        Copy to Clipboard Toggle word wrap

    • IdM 마이그레이션 웹 페이지 방법을 결정하는 경우:

      • 마이그레이션 웹 페이지를 사용하여 IdM에 로그인하도록 사용자에게 지시합니다. 

        https://ipaserver.example.com/ipa/migration
        Copy to Clipboard Toggle word wrap

  11. 사용자 마이그레이션 프로세스를 모니터링하려면 기존 LDAP 디렉터리를 쿼리하여 암호가 있지만 아직 Kerberos 주체 키가 없는 사용자 계정을 확인합니다. 

    $ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid
    Copy to Clipboard Toggle word wrap
    참고

    쉘에서 해석되지 않도록 필터 주위에 작은따옴표를 포함합니다.

  12. 모든 클라이언트 및 사용자의 마이그레이션이 완료되면 LDAP 디렉터리를 해제합니다.

검증

  1. ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성합니다. 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스 세트가 포함되어 있는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ ipa user-show --all testing_user
dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
User login: testing_user
First name: testing
Last name: user
Full name: testing user
Display name: testing user
Initials: tu
Home directory: /home/testing_user
GECOS: testing user
Login shell: /bin/sh
Principal name: testing_user@IDM.EXAMPLE.COM
Principal alias: testing_user@IDM.EXAMPLE.COM
Email address: testing_user@idm.example.com
UID: 1689700012
GID: 1689700012
Account disabled: False
Preserved user: False
Password: False
Member of groups: ipausers
Kerberos keys available: False
ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
             ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry
    Copy to Clipboard Toggle word wrap
  2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.

4.7. SSL을 통해 LDAP에서 IdM으로 마이그레이션
링크 복사

ipa migrate-ds 명령을 사용하여 LDAP 서버에서 IdM(Identity Management)으로 인증 및 권한 부여 서비스를 마이그레이션할 수 있습니다. 마이그레이션 중에 전송된 데이터를 암호화하려면 다음 절차를 따르십시오.

주의

이는 모든 환경에서 작동하지 않을 수 있는 일반적인 마이그레이션 절차입니다.

실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 환경을 테스트할 때 다음을 수행합니다.

  1. IdM에 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다.
  2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다.

자세한 내용은 아래 확인 섹션을 참조하십시오.

사전 요구 사항

프로세스

  1. 원격 LDAP 서버 인증서를 향후 IdM 서버의 파일에 발행한 CA의 인증서를 저장합니다. 예: /tmp/remote.crt

  2. LDAP 서버를 IdM으로 마이그레이션하는 방법에 설명된 단계를 따르십시오. 그러나 마이그레이션 중에 암호화된 LDAP 연결의 경우 URL에서 ldaps 프로토콜을 사용하고 --ca-cert-file 옵션을 ipa migrate-ds 명령에 전달합니다. 예를 들면 다음과 같습니다. 

    # ipa migrate-ds --ca-cert-file=/tmp/remote.crt --your-other-options ldaps://ldap.example.com:636
    Copy to Clipboard Toggle word wrap

검증

  1. ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성합니다. 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스 세트가 포함되어 있는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ ipa user-show --all testing_user
dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
User login: testing_user
First name: testing
Last name: user
Full name: testing user
Display name: testing user
Initials: tu
Home directory: /home/testing_user
GECOS: testing user
Login shell: /bin/sh
Principal name: testing_user@IDM.EXAMPLE.COM
Principal alias: testing_user@IDM.EXAMPLE.COM
Email address: testing_user@idm.example.com
UID: 1689700012
GID: 1689700012
Account disabled: False
Preserved user: False
Password: False
Member of groups: ipausers
Kerberos keys available: False
ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
             ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry
    Copy to Clipboard Toggle word wrap
  2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.

법적 공지
링크 복사

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동