4.6. LDAP 서버를 IdM으로 마이그레이션

프로세스

1. IdM이 아직 설치되지 않은 경우: 사용자 지정 LDAP 디렉터리 스키마를 포함하여 기존 LDAP 디렉터리가 설치된 것과 다른 머신에 IdM 서버를 설치합니다. 자세한 내용은 Identity Management 설치를 참조하십시오.

   참고

   사용자 정의 사용자 또는 그룹 스키마는 IdM에서 지원이 제한됩니다. 호환되지 않는 오브젝트 정의로 인해 마이그레이션 중에 문제가 발생할 수 있습니다.

2. 성능상의 이유로 compat 플러그인을 비활성화합니다.

   # ipa-compat-manage disable

   스키마 호환성 기능 및 마이그레이션을 위해 비활성화할 때의 이점에 대한 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 사용할 스키마 및 스키마 호환성 기능을 참조하십시오.

3. IdM Directory Server 인스턴스를 다시 시작합니다.

   # systemctl restart dirsrv.target

4. 마이그레이션을 허용하도록 IdM 서버를 구성합니다.

   # ipa config-mod --enable-migration=TRUE

   --enable-migration 을 TRUE로 설정하면 다음을 수행합니다.

   • LDAP 추가 작업 중에 미리 해시된 암호를 허용합니다.
   • 초기 Kerberos 인증이 실패하는 경우 암호 마이그레이션 시퀀스를 시도하도록 SSSD를 구성합니다. 자세한 내용은 LDAP에서 IdM으로 암호를 마이그레이션할 때 SSSD 사용의 워크플로우 섹션을 참조하십시오.

5. 사용 사례와 관련된 옵션을 사용하여 IdM 마이그레이션 스크립트인 ipa migrate-ds 를 실행합니다. 자세한 내용은 LDAP에서 IdM으로 마이그레이션 사용자 지정을 참조하십시오.

   # ipa migrate-ds --your-options ldap://ldap.example.com:389

   참고

   이전 단계 중 하나에서 compat 플러그인을 비활성화하지 않은 경우 ipa migrate-ds 에 --with-compat 옵션을 추가합니다.

   # ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389

6. compat 플러그인을 다시 활성화합니다.

   # ipa-compat-manage enable

7. IdM 디렉터리 서버를 다시 시작합니다.

   # systemctl restart dirsrv.target

8. 모든 사용자가 암호를 마이그레이션한 경우 마이그레이션 모드를 비활성화합니다.

   # ipa config-mod --enable-migration=FALSE

9. 선택 사항: 모든 사용자가 마이그레이션된 경우 LDAP 인증 대신 pam_krb5인 pam_krb5 인증을 사용하도록 SSSD 이외의 클라이언트를 재구성 하십시오. 자세한 내용은 RHEL 7 시스템 수준 인증 가이드의 Kerberos 클라이언트 구성 을 참조하십시오.

10. 사용자가 해시된 Kerberos 암호를 생성하도록 합니다. LDAP에서 IdM으로 마이그레이션할 때 계획 암호 마이그레이션 에 설명된 방법 중 하나를 선택합니다.

    • SSSD 방법을 결정하는 경우:

      • LDAP 디렉터리에서 IdM 디렉터리로 SSSD가 설치된 클라이언트를 IdM 디렉터리에 이동하고 IdM에 클라이언트로 등록합니다. 이렇게 하면 필요한 키와 인증서가 다운로드됩니다.

        Red Hat Enterprise Linux 클라이언트에서는 ipa-client-install 명령을 사용하여 이 작업을 수행할 수 있습니다. 예를 들면 다음과 같습니다.

        # ipa-client-install --enable-dns-update

    • IdM 마이그레이션 웹 페이지 방법을 결정하는 경우:

      • 마이그레이션 웹 페이지를 사용하여 IdM에 로그인하도록 사용자에게 지시합니다.

        https://ipaserver.example.com/ipa/migration

11. 사용자 마이그레이션 프로세스를 모니터링하려면 기존 LDAP 디렉터리를 쿼리하여 암호가 있지만 아직 Kerberos 주체 키가 없는 사용자 계정을 확인합니다.

    $ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid

    참고

    쉘에서 해석되지 않도록 필터 주위에 작은따옴표를 포함합니다.

12. 모든 클라이언트 및 사용자의 마이그레이션이 완료되면 LDAP 디렉터리를 해제합니다.

검증

1. ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성합니다. 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스 세트가 포함되어 있는지 확인합니다. 예를 들면 다음과 같습니다.

   $ ipa user-show --all testing_user
   dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
   User login: testing_user
   First name: testing
   Last name: user
   Full name: testing user
   Display name: testing user
   Initials: tu
   Home directory: /home/testing_user
   GECOS: testing user
   Login shell: /bin/sh
   Principal name: testing_user@IDM.EXAMPLE.COM
   Principal alias: testing_user@IDM.EXAMPLE.COM
   Email address: testing_user@idm.example.com
   UID: 1689700012
   GID: 1689700012
   Account disabled: False
   Preserved user: False
   Password: False
   Member of groups: ipausers
   Kerberos keys available: False
   ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
   mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
   objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
                ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry

2. IdM에 표시된 대로 마이그레이션된 사용자의 출력을 원래 LDAP 서버에 표시된 대로 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.