4.5. LDAP에서 IdM으로 마이그레이션 사용자 정의

ipa migrate-ds 명령을 사용하여 LDAP에서 IdM(Identity Management)으로 마이그레이션합니다. 추가 옵션 없이 명령은 디렉터리의 LDAP URL을 사용하여 일반적인 기본 설정을 기반으로 데이터를 마이그레이션하고 내보냅니다. 다음은 기본 설정을 수정하는 예입니다.

# ipa migrate-ds ldap://ldap.example.com:389

기본 디렉터리 구조는 ou=People 하위 트리에 사람 항목을 배치하고 ou=Groups 하위 트리의 그룹 항목을 배치합니다. 이러한 하위 트리는 다양한 유형의 디렉터리 데이터의 컨테이너 항목입니다. migrate-ds 명령과 함께 옵션을 사용하지 않는 경우 유틸리티는 지정된 LDAP 디렉터리에서 ou=People 및 ou=Groups 구조를 사용한다고 가정합니다.

많은 배포에는 완전히 다른 디렉터리 구조가 있거나 원래 디렉터리 트리의 특정 부분만 내보낼 수 있습니다. 관리자는 다음 옵션을 사용하여 소스 LDAP 서버의 다른 사용자 또는 그룹 하위 트리의 RDN을 지정할 수 있습니다.

예를 들면 다음과 같습니다.

[ipaserver ~]# ipa migrate-ds --user-container=ou=employees \
--group-container="ou=employee groups" ldap://ldap.example.com:389

선택적으로 ipa migrate-ds 명령에 --scope 옵션을 추가하여 범위를 설정합니다.

기본적으로 ipa migrate-ds 스크립트는 person 오브젝트 클래스와 groupOfUniqueNames 또는 groupOfNames 오브젝트 클래스가 있는 모든 사용자 항목을 가져옵니다.

일부 마이그레이션 경로에서는 특정 유형의 사용자 및 그룹만 내보내거나 또는 특정 사용자 및 그룹을 제외해야 할 수 있습니다. 사용자 또는 그룹 항목을 찾을 때 검색할 개체 클래스를 설정하여 포함할 사용자 및 그룹 유형을 선택할 수 있습니다.

이 옵션은 다양한 사용자 유형에 사용자 지정 오브젝트 클래스를 사용할 때 특히 유용합니다. 예를 들어 다음 명령은 사용자 정의 fullTime Cryostat 오브젝트 클래스가 있는 사용자만 마이그레이션합니다.

[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee ldap://ldap.example.com:389

다양한 유형의 그룹으로 인해 사용자 그룹과 같은 특정 유형의 그룹 만 마이그레이션하는 경우에도 인증서 그룹과 같은 다른 유형의 그룹을 제외하는 데 매우 유용합니다. 예를 들면 다음과 같습니다.

[root@ipaserver ~]# ipa migrate-ds --group-objectclass=groupOfNames --group-objectclass=groupOfUniqueNames ldap://ldap.example.com:389

오브젝트 클래스를 기반으로 마이그레이션할 사용자 및 그룹 항목을 지정하면 기타 모든 사용자와 그룹이 마이그레이션에서 암시적으로 제외됩니다.

또는 작은 항목만 제외하고 모든 사용자 및 그룹 항목을 마이그레이션하는 것이 유용할 수 있습니다. 해당 유형의 다른 모든 항목을 마이그레이션하는 동안 특정 사용자 또는 그룹 계정을 제외할 수 있습니다. 예를 들어, hobbies 그룹과 두 사용자만 제외됩니다.

[root@ipaserver ~]# ipa migrate-ds --exclude-groups="Golfers Group" --exclude-users=idmuser101 --exclude-users=idmuser102 ldap://ldap.example.com:389

exclude 설명은 uid 의 패턴과 일치하는 사용자 및 cn 속성에서 일치하는 그룹에 적용됩니다.

일반 오브젝트 클래스를 마이그레이션할 수 있지만 해당 클래스의 특정 항목은 제외할 수 있습니다. 예를 들어, 이는 구체적으로 fullTime Cryostat 오브젝트 클래스 를 사용하는 사용자를 포함하지만 세 가지 관리자는 제외합니다.

[root@ipaserver ~]# ipa migrate-ds --user-objectclass=fullTimeEmployee --exclude-users=jsmith --exclude-users=bjensen --exclude-users=mreynolds ldap://ldap.example.com:389

기본적으로 사용자 또는 그룹 항목의 모든 특성 및 오브젝트 클래스가 마이그레이션됩니다. 특정 시나리오에서는 대역폭 및 네트워크 제약 조건으로 인해 또는 특성 데이터가 더 이상 관련이 없기 때문에 비현실적이지 않을 수 있습니다. 예를 들어 사용자가 IdM(Identity Management) 도메인에 참여할 때 새 사용자 인증서를 할당하려는 경우 userCertificate 특성을 마이그레이션하는 것은 쓸모 없게 됩니다.

migrate-ds 명령과 함께 다음 옵션을 사용하여 특정 오브젝트 클래스 및 속성을 무시할 수 있습니다.

예를 들어 사용자의 userCertificate 속성 및 strongAuthenticationUser 오브젝트 클래스와 그룹의 groupOfCertificates 오브젝트 클래스를 제외하려면 다음을 수행합니다.

[root@ipaserver ~]# ipa migrate-ds --user-ignore-attribute=userCertificate --user-ignore-objectclass=strongAuthenticationUser --group-ignore-objectclass=groupOfCertificates ldap://ldap.example.com:389

IdM(Identity Management)은 RFC2307bis 스키마를 사용하여 사용자, 호스트, 호스트 그룹 및 기타 네트워크 ID를 정의합니다. 그러나 마이그레이션 소스로 사용된 LDAP 서버가 RFC2307 스키마를 사용하는 경우 ipa migrate-ds 명령을 사용하여 --schema 옵션을 지정합니다.

[root@ipaserver ~]# ipa migrate-ds --schema=RFC2307 ldap://ldap.example.com:389

또는 IdM에 RFC2307bis를 지원하지 않는 시스템의 데이터를 다시 포맷할 수 있는 기본 제공 스키마 compat 기능이 있습니다. compat 플러그인은 기본적으로 활성화되어 있습니다. 즉, 디렉터리 서버가 사용자 및 그룹의 대체 보기를 계산하고 cn=users,cn=compat,dc=example,dc=com 컨테이너 항목에 이 뷰를 제공합니다. 이를 통해 시작 시 해당 항목의 내용을 사전 계산하고 필요에 따라 항목을 새로 고칩니다.

이 기능은 마이그레이션 중에 시스템 오버헤드를 줄이는 것이 좋습니다.