Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

4.4. 추가 마이그레이션 고려 사항 및 요구 사항

LDAP 서버에서 IdM(Identity Management)으로 마이그레이션을 계획 중이므로 LDAP 환경이 IdM 마이그레이션 스크립트를 사용하여 작업할 수 있는지 확인합니다.

4.4.1. 마이그레이션에 지원되는 LDAP 서버
링크 복사

LDAP 서버의 마이그레이션 프로세스에서 IdM으로의 마이그레이션 프로세스는 특수 스크립트인 ipa migrate-ds 를 사용하여 마이그레이션을 수행합니다. 이 스크립트는 LDAP 디렉터리 및 LDAP 항목의 구조에 대한 특정 요구 사항이 있습니다. 마이그레이션은 몇 가지 공통 디렉터리를 포함하는 LDAPv3 호환 디렉터리 서비스에서만 지원됩니다.

  • Sun ONE Directory Server
  • Apache Directory Server
  • OpenLDAP

LDAP 서버에서 IdM으로의 마이그레이션은 Red Hat Directory Server 및 OpenLDAP에서 테스트되었습니다.

참고

마이그레이션 스크립트를 사용한 마이그레이션은 LDAPv3 호환 디렉터리가 아니므로 Microsoft Active Directory에서 지원되지 않습니다. Active Directory에서 마이그레이션하는 데 도움이 필요하면 Red Hat Professional Services에 문의하십시오.

4.4.2. 마이그레이션을 위한 LDAP 환경 요구 사항
링크 복사

LDAP 서버와 IdM(Identity Management)에 사용할 수 있는 다양한 구성 시나리오가 있으며 마이그레이션 프로세스의 원활함에 영향을 미칩니다. 마이그레이션 절차의 예는 환경에 대한 가정입니다.

  • 단일 LDAP 디렉터리 도메인이 하나의 IdM 영역으로 마이그레이션되고 있습니다. 통합은 포함되지 않습니다.
  • 사용자 암호는 LDAP 디렉터리에 해시로 저장됩니다. 지원되는 해시 목록은 Red Hat Directory Server 설명서의 Red Hat Directory Server 10 섹션에서 제공되는 구성, 명령 및 파일 참조 제목의 암호 스토리지 스키마 섹션을 참조하십시오.
  • LDAP 디렉터리 인스턴스는 ID 저장소와 인증 방법 둘 다입니다. 클라이언트 시스템은 pam_ldap 또는 nss_ldap 라이브러리를 사용하여 LDAP 서버에 연결하도록 구성됩니다.
  • 항목은 표준 LDAP 스키마만 사용합니다. 사용자 정의 오브젝트 클래스 또는 속성이 포함된 항목은 IdM으로 마이그레이션되지 않습니다.

  • ipa migrate-ds 명령은 다음 계정만 마이그레이션합니다.

    • gidNumber 속성이 포함된 사용자입니다. 속성은 posixAccount 오브젝트 클래스에 필요합니다.
    • sn 속성이 포함된 사용자입니다. 이 속성은 person 오브젝트 클래스에 필요합니다.
참고

일반 LDAP는 OU(조직 단위)를 사용하여 중첩 구조를 크게 지원합니다. 이를 통해 LDAP 디렉터리를 여러 수준의 OU, 그룹 및 사용자로 계층적으로 구조화할 수 있습니다. RHEL IdM에서는 모든 사용자가 cn=users,cn=accounts,$SUFFIX 플랫 사용자 컨테이너에 저장된 RHEL IdM에서는 이 수준의 계층 구조를 사용할 수 없습니다. 따라서 깊이 중첩된 구조가 있는 LDAP 데이터베이스를 RHEL IdM으로 마이그레이션할 때 다음과 같은 선택 사항이 있습니다.

  • 다른 OU의 사용자에 대해 여러 마이그레이션을 수행합니다.
  • 하위 트리 검색을 수행하여 여러 OU를 포함합니다.

이러한 옵션에 대한 자세한 내용은 ipa migrate-ds --help 를 참조하십시오.

4.4.3. 마이그레이션을 위한 IdM 시스템 요구 사항
링크 복사

약 10,000명의 사용자 및 10개의 그룹의 중간 크기의 디렉터리를 사용하면 마이그레이션을 진행할 수 있는 충분한 대상 IdM 시스템이 있어야 합니다. 마이그레이션의 최소 요구 사항은 다음과 같습니다.

  • 4개의 코어
  • 4GB RAM
  • 30GB의 디스크 공간

  • IdM 서버의 기본값인 2MB의 SASL 버퍼 크기

    마이그레이션 오류의 경우 버퍼 크기를 늘립니다. 

    [root@ipaserver ~]# ldapmodify -x -D 'cn=directory manager' -w password -h ipaserver.example.com -p 389

dn: cn=config
changetype: modify
replace: nsslapd-sasl-max-buffer-size
nsslapd-sasl-max-buffer-size: 4194304

modifying entry "cn=config"
    Copy to Clipboard Toggle word wrap

    nsslapd-sasl-max-buffer-size 값을 바이트 단위로 설정합니다.

4.4.4. 사용자 및 그룹 ID 번호
링크 복사

LDAP에서 IdM 배포로 마이그레이션하는 경우 배포 간에 UID(사용자 ID) 및 그룹 ID(GID) 충돌이 없는지 확인합니다. 마이그레이션 전에 다음을 확인합니다.

  • LDAP ID 범위를 알고 있습니다.
  • IdM ID 범위를 알고 있습니다.
  • LDAP 서버의 UID와 GID와 RHEL 시스템 또는 IdM 배포의 기존 UID 또는 GID 간에 겹치는 항목이 없습니다.

  • 마이그레이션된 LDAP UID 및 GID는 IdM ID 범위에 적합합니다.

    • 필요한 경우 마이그레이션 전에 새 IdM ID 범위를 생성합니다.

4.4.5. sudo 규칙에 대한 고려 사항
링크 복사

LDAP와 함께 sudo 를 사용하는 경우 LDAP에 저장된 sudo 규칙을 IdM(Identity Management)으로 수동으로 마이그레이션해야 합니다. IdM에서 netgroups를 호스트 그룹으로 다시 생성하는 것이 좋습니다. IdM은 SSSD sudo 공급자를 사용하지 않는 sudo 구성의 기존 netgroups로 자동으로 호스트 그룹을 제공합니다.

4.4.6. LDAP에서 IdM로의 마이그레이션 툴
링크 복사

IdM(Identity Management)은 특정 명령인 ipa migrate-ds 를 사용하여 마이그레이션 프로세스를 실행하여 LDAP 디렉터리 데이터를 올바르게 포맷하고 IdM 서버로 가져옵니다. ipa migrate-ds 를 사용하는 경우 --bind-dn 옵션으로 지정한 원격 시스템 사용자는 userPassword 속성에 대한 읽기 액세스 권한이 있어야 합니다. 그러지 않으면 암호가 마이그레이션되지 않습니다.

IdM 서버를 마이그레이션 모드에서 실행하도록 구성한 다음 마이그레이션 스크립트를 사용할 수 있습니다. 자세한 내용은 LDAP 서버를 IdM으로 마이그레이션을 참조하십시오.

4.4.7. LDAP에서 IdM 마이그레이션 성능 개선
링크 복사

LDAP 마이그레이션은 기본적으로 IdM 서버 내의 389 Directory Server(DS) 인스턴스에 대한 특수 가져오기 작업입니다. 가져오기 작업 성능을 개선하기 위해 389 DS 인스턴스를 튜닝하면 전체 마이그레이션 성능을 향상시킬 수 있습니다.

가져오기 성능에 직접적인 영향을 미치는 매개변수는 다음 두 가지가 있습니다.

  • 항목 캐시에 허용되는 크기를 정의하는 nsslapd-cachememsize 속성입니다. 이는 총 캐시 메모리 크기의 80%로 자동 설정된 버퍼입니다. 대규모 가져오기 작업의 경우 이 매개변수와 메모리 캐시 자체를 늘릴 수 있습니다. 이렇게 늘리면 많은 수의 항목이 큰 특성을 가진 항목 또는 항목을 처리할 때 디렉터리 서비스의 효율성이 향상됩니다.

    dsconf 명령을 사용하여 속성을 수정하는 방법에 대한 자세한 내용은 IdM Directory Server의 항목 캐시 크기 조정을 참조하십시오.

  • system ulimit 구성 옵션은 시스템 사용자에 대해 허용되는 최대 프로세스 수를 설정합니다. 큰 데이터베이스를 처리하면 제한을 초과할 수 있습니다. 이 경우 값을 늘립니다. 

    [root@server ~]# ulimit -u 4096
    Copy to Clipboard Toggle word wrap

4.4.8. LDAP에서 IdM로의 마이그레이션 순서
링크 복사

IdM으로 마이그레이션할 때는 네 가지 주요 단계가 있지만, 해당 순서는 서버 또는 클라이언트를 처음 마이그레이션할지 여부에 따라 달라집니다.

중요

클라이언트 우선 및 서버 우선 마이그레이션 모두 일반적인 마이그레이션 절차를 제공하지만 모든 환경에서 작동하지 않을 수 있습니다. 실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트합니다.

클라이언트 우선 마이그레이션

SSSD는 IdM(Identity Management) 서버가 구성된 동안 클라이언트 구성을 변경하는 데 사용됩니다.

  1. SSSD를 배포합니다.
  2. 클라이언트를 재구성하여 현재 LDAP 서버에 연결한 다음 IdM으로 페일오버합니다.
  3. IdM 서버를 설치합니다.
  4. IdM ipa migrate-ds 스크립트를 사용하여 사용자 데이터를 마이그레이션합니다. 이 명령은 LDAP 디렉터리에서 데이터를 내보내고 IdM 스키마의 형식을 내보낸 다음 IdM으로 가져옵니다.
  5. LDAP 서버를 오프라인 상태로 전환하여 클라이언트가 IdM으로 투명하게 장애 조치를 취할 수 있습니다.
서버 우선 마이그레이션

IdM 마이그레이션으로 LDAP가 먼저 수행됩니다.

  1. IdM 서버를 설치합니다.
  2. IdM ipa migrate-ds 스크립트를 사용하여 사용자 데이터를 마이그레이션합니다. 이 명령은 LDAP 디렉터리에서 데이터를 내보내고 IdM 스키마에 대해 포맷한 다음 IdM으로 가져옵니다.
  3. 선택 사항: SSSD를 배포합니다.

  4. IdM에 연결하도록 클라이언트를 재구성합니다. LDAP 서버를 간단히 교체할 수 없습니다. IdM 디렉터리 트리 및 따라서 사용자 항목 DNs는 이전 디렉터리 트리와 다릅니다.

    클라이언트를 재구성해야 하지만 클라이언트를 즉시 재구성할 필요는 없습니다. 업데이트된 클라이언트는 다른 클라이언트가 이전 LDAP 디렉터리를 가리키는 동안 IdM 서버를 가리킬 수 있으므로 데이터를 마이그레이션한 후 적절한 테스트 및 전환 단계를 수행할 수 있습니다.

    참고

    LDAP 디렉터리 서비스와 IdM 서버를 병렬로 모두 실행하지 마십시오. 이로 인해 두 서비스 간에 사용자 데이터가 일관되지 않을 위험이 발생합니다.

Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동