Red Hat Summit39.3. LDAP 서버를 Identity Management로 마이그레이션
중요
이는 일반적인 마이그레이션 절차이지만 모든 환경에서 작동하지 않을 수 있습니다.
실제 LDAP 환경을 마이그레이션하기 전에 LDAP 환경을 테스트하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 마이그레이션이 올바르게 완료되었는지 확인하려면 다음을 수행하십시오.
- ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 테스트 사용자와 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 제공되는 최소 특성 및 개체 클래스 집합이 포함되어 있는지 확인합니다.
ipa user-add TEST_USER
$ ipa user-add TEST_USERCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 마이그레이션된 사용자 출력( IdM에서seen)을 소스 사용자(원래 LDAP 서버에 있음)와 비교합니다. 가져온 속성이 이중화되지 않고 예상 값이 있는지 확인합니다.
ipa user-show --all TEST_USER
$ ipa user-show --all TEST_USERCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 기존 LDAP 디렉터리의 다른 시스템에 사용자 지정 LDAP 디렉터리 스키마를 포함하여 IdM 서버를 설치합니다.참고사용자 지정 사용자 또는 그룹 스키마는 IdM에서 제한된 지원을 제공합니다. 마이그레이션 중에 호환되지 않는 개체 정의로 인해 문제가 발생할 수 있습니다.
- compat 플러그인을 비활성화합니다.
ipa-compat-manage disable
[root@server ~]# ipa-compat-manage disableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 마이그레이션 중에 compat 트리에서 제공하는 데이터가 필요한 경우에는 이 단계가 필요하지 않습니다. - IdM 디렉터리 서버 인스턴스를 다시 시작합니다.
systemctl restart dirsrv.target
[root@server ~]# systemctl restart dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 마이그레이션을 허용하도록 IdM 서버를 구성합니다.
ipa config-mod --enable-migration=TRUE
[root@server ~]# ipa config-mod --enable-migration=TRUECopy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM 마이그레이션 스크립트 ipa migrate-ds 를 실행합니다. 가장 기본적인 경우 마이그레이션하려면 LDAP 디렉터리 인스턴스의 LDAP URL만 필요합니다.
ipa migrate-ds ldap://ldap.example.com:389
[root@server ~]# ipa migrate-ds ldap://ldap.example.com:389Copy to Clipboard Copied! Toggle word wrap Toggle overflow 단순히 LDAP URL을 전달하면 일반적인 기본 설정을 사용하여 모든 디렉터리 데이터가 마이그레이션됩니다. 39.2절. “ipa migrate-ds사용 예” 에서 설명한 대로 다른 옵션을 지정하여 사용자 및 그룹 데이터를 선택적으로 마이그레이션할 수 있습니다.이전 단계에서 compat 플러그인이 비활성화되지 않은 경우--with-compat옵션을 ipa migrate-ds 로 전달합니다.정보를 내보내면 스크립트는 필요한 모든 IdM 오브젝트 클래스와 속성을 추가하고 이름 지정 컨텍스트가 다른 경우 IdM 디렉터리 트리와 일치하도록 속성에서 DN을 변환합니다. 예:uid=user,ou=people,dc=ldap,dc=example,dc=com은uid=사용자,ou=people,dc=idm,dc=example,dc=com. - 마이그레이션 전에 비활성화된 compat 플러그인을 다시 활성화합니다.
ipa-compat-manage enable
[root@server ~]# ipa-compat-manage enableCopy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM 디렉터리 서버 인스턴스를 다시 시작합니다.
systemctl restart dirsrv.target
[root@server ~]# systemctl restart dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 마이그레이션 모드를 비활성화합니다.
ipa config-mod --enable-migration=FALSE
[root@server ]# ipa config-mod --enable-migration=FALSECopy to Clipboard Copied! Toggle word wrap Toggle overflow - 선택 사항입니다. LDAP 인증(ovn
_ldap) 대신 Kerberos 인증을 사용하도록 SSD가 아닌 클라이언트를 재구성 - 사용자가 해시된 Kerberos 암호를 생성하는 방법은 두 가지가 있습니다. 둘 다 39.1.2절. “암호 마이그레이션 플래닝” 에 설명된 바와 같이 추가 사용자 상호 작용없이 사용자 암호를 마이그레이션합니다.
- SSSD 사용:
- LDAP 백엔드에서 IdM 백엔드로 SSSD가 설치된 클라이언트를 이동하여 IdM에 클라이언트로 등록합니다. 그러면 필요한 키와 인증서가 다운로드됩니다.Red Hat Enterprise Linux 클라이언트에서는
ipa-client-install명령을 사용하여 이 작업을 수행할 수 있습니다. 예를 들어 다음과 같습니다.ipa-client-install --enable-dns-update
[root@server ~]# ipa-client-install --enable-dns-updateCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- IdM 마이그레이션 웹 페이지 사용:
- 마이그레이션 웹 페이지를 사용하여 IdM에 로그인하도록 사용자에게 지시합니다.
https://ipaserver.example.com/ipa/migration
https://ipaserver.example.com/ipa/migrationCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 사용자 마이그레이션 프로세스를 모니터링하려면 기존 LDAP 디렉터리를 쿼리하여 암호가 있지만 아직 Kerberos 보안 키가 없는 사용자 계정을 확인합니다.
ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=*))(userpassword=*))' uid
[user@server ~]$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=*))(userpassword=*))' uidCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고쉘에서 해석하지 않도록 필터의 작은따옴표를 포함합니다. - 모든 클라이언트 및 사용자의 마이그레이션이 완료되면 LDAP 디렉터리를 폐기합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}