4.3. LDAP에서 IdM으로 마이그레이션할 때 암호 마이그레이션 계획

사용자가 암호를 변경하도록 강제 적용하지 않고 LDAP에서 IdM(Identity Management)으로 사용자 계정을 마이그레이션하려면 다음 방법을 사용할 수 있습니다.

방법 1: 마이그레이션 웹 페이지 사용

사용자에게 IdM 웹 UI https://ipaserver.example.com/ipa/migration 의 특수 페이지에 한 번 LDAP 인증 정보를 입력하도록 지시합니다. 백그라운드에서 실행되는 스크립트는 일반 텍스트 암호를 캡처하고 사용자 계정을 암호 및 적절한 Kerberos 해시로 올바르게 업데이트합니다.

방법 2(권장): SSSD 사용

SSSD(System Security Services Daemon)를 사용하여 필요한 사용자 키를 생성하여 마이그레이션의 사용자 영향을 완화합니다. 많은 사용자가 있거나 사용자가 암호 변경에 부담을 주지 않아야 하는 경우 이 시나리오가 가장 좋습니다.

방법 2에서는 전체 프로세스가 사용자에게 표시되지 않습니다. 암호가 LDAP에서 IdM으로 이동되었음을 알리지 않고 클라이언트 서비스에 로그인합니다.

대부분의 배포에서는 LDAP 암호가 암호화된 상태로 저장되지만 일부 사용자 또는 사용자 항목에 일반 텍스트 암호를 사용하는 일부 환경이 있을 수 있습니다.

사용자가 LDAP 서버에서 IdM 서버로 마이그레이션되면 IdM에서 일반 텍스트 암호를 허용하지 않기 때문에 일반 텍스트 암호가 마이그레이션되지 않습니다. 대신 각 사용자에 대해 Kerberos 주체가 생성되고 keytab이 true로 설정되고 암호가 expired로 설정됩니다. 즉, IdM을 사용하려면 다음 로그인 시 사용자가 암호를 재설정해야 합니다. 자세한 내용은 IdM 요구 사항을 충족하지 않는 LDAP 암호 마이그레이션 계획을 참조하십시오.

원래 디렉터리의 사용자 암호가 IdM(Identity Management)에 정의된 암호 정책을 충족하지 않으면 마이그레이션 후 암호가 유효하지 않습니다.

사용자가 kinit 를 입력하여 IdM 도메인에서 Kerberos 티켓(TGT)을 처음 받을 때 암호 재설정이 자동으로 수행됩니다. 사용자는 암호를 변경해야 합니다.

kinit
Password for migrated_idm_user@IDM.EXAMPLE.COM:
Password expired.  You must change it now.
Enter new password:
Enter it again:

[migrated_idm_user@idmclient ~]$ kinit
Password for migrated_idm_user@IDM.EXAMPLE.COM:
Password expired.  You must change it now.
Enter new password:
Enter it again: