7장. 동기화에서 신뢰로 기존 환경 마이그레이션
동기화 및 신뢰 는 간접 통합에 대한 두 가지 가능한 접근 방식입니다. 동기화는 일반적으로 권장되지 않으며, Red Hat은 AD(Active Directory) 신뢰를 기반으로 한 접근 방식을 대신 사용할 것을 권장합니다. 자세한 내용은 1.3절. “간접 통합” 을 참조하십시오.
이 장에서는 기존 동기화 기반 설정을 AD 신뢰로 마이그레이션하는 방법을 설명합니다. IdM에서 다음 마이그레이션 옵션을 사용할 수 있습니다.
7.1. ipa-winsync-migrate를 사용하여 자동으로 동기화에서 신뢰로 마이그레이션
중요
ipa-winsync-migrate 유틸리티는 Red Hat Enterprise Linux 7.2 이상을 실행하는 시스템에서만 사용할 수 있습니다.
7.1.1. ipa-winsync-migrate Works를 사용한 마이그레이션 방법
ipa-winsync-migrate 유틸리티는 AD forest에서 동기화된 모든 사용자를 마이그레이션하고 Winsync 환경의 기존 구성을 유지하면서 AD 신뢰로 전송합니다. Winsync 계약에 의해 생성된 각 AD 사용자의 경우 ipa-winsync-migrate 는 기본 신뢰 보기에 ID 재정의를 만듭니다( 8.1절. “Active Directory 기본 신뢰 보기”참조).
마이그레이션이 완료된 후 다음을 수행합니다.
- AD 사용자의 ID 재정의에는 Winsync의 원래 항목에서 복사한 다음과 같은 속성이 있습니다.
- 로그인 이름(
uid) - UID 번호(
uidnumber) - GID 번호(
gidnumber) - 홈 디렉토리(
홈 디렉토리) - GECOS 항목 (
gecos)
- AD 트러스트의 사용자 계정은 IdM의 원래 구성을 유지합니다. 여기에는 다음이 포함됩니다.
- POSIX 속성
- 사용자 그룹
- 역할 기반 액세스 제어 규칙
- 호스트 기반 액세스 제어 규칙
- SELinux 멤버십
sudo규칙
- 새 AD 사용자가 외부 IdM 그룹의 멤버로 추가됩니다.
- 원본 Winsync 복제 계약, 동기화된 원본 사용자 계정 및 사용자 계정의 모든 로컬 복사본이 제거됩니다.
7.1.2. ipa-winsync-migrate를 사용하여 마이그레이션을 마이그레이션하는 방법
시작하기 전에:
ipa-backup유틸리티를 사용하여 IdM 설정을 백업합니다. Linux 도메인 ID, 인증 및 정책 가이드의 ID 관리 백업 및 복원을 참조하십시오.이유: 마이그레이션은 IdM 구성 및 많은 사용자 계정의 중요한 부분에 영향을 미칩니다. 백업을 만들면 필요한 경우 원래 설정을 복원할 수 있습니다.
마이그레이션하려면 다음을 수행합니다.
- 동기화된 도메인을 사용하여 신뢰를 만듭니다. 5장. ActiveActive Directory Long;Directory and Identity Identity Management {{;Management를 사용하여 Cross-forest Trusts 생성을 참조하십시오.
ipa-winsync-migrate를 실행하고 AD 도메인 컨트롤러의 호스트 이름과 AD 영역을 지정합니다.# ipa-winsync-migrate --realm example.com --server ad.example.com
ipa-winsync-migrate에서 생성된 덮어쓰기에서 충돌이 발생하면 충돌이 발생하지만 마이그레이션이 계속됩니다.- AD 서버에서 Password Sync 서비스를 설치 제거합니다. 이를 통해 AD 도메인 컨트롤러에서 동기화 계약을 제거합니다.
유틸리티에 대한 자세한 내용은 ipa-winsync-migrate(1) 도움말 페이지를 참조하십시오.
