5.6. LDAP 서버를 IdM으로 마이그레이션

ipa migrate-ds 명령을 사용하여 LDAP 서버에서 IdM(Identity Management)으로 인증 및 권한 부여 서비스를 마이그레이션할 수 있습니다.

주의

이는 모든 환경에서 작동하지 않을 수 있는 일반적인 마이그레이션 절차입니다.

실제 LDAP 환경을 마이그레이션하기 전에 테스트 LDAP 환경을 설정하고 마이그레이션 프로세스를 테스트하는 것이 좋습니다. 환경을 테스트할 때 다음을 수행합니다.

IdM에서 테스트 사용자를 생성하고 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다.
원래 LDAP 서버에 표시된 것처럼 마이그레이션된 사용자의 출력을 소스 사용자와 비교합니다.

자세한 내용은 아래의 확인 섹션을 참조하십시오.

사전 요구 사항

LDAP 디렉터리에 대한 관리자 권한이 있습니다.
IdM이 이미 설치되어 있는 경우 IdM에 대한 관리자 권한이 있습니다.
아래 절차를 실행하는 RHEL 시스템에서 root 로 로그인했습니다.
다음 부분을 읽고 이해했습니다.

절차

IdM이 아직 설치되지 않은 경우 사용자 정의 LDAP 디렉터리 스키마를 포함하여 IdM 서버를 설치합니다. 기존 LDAP 디렉터리가 설치된 것과 다른 시스템에 사용자 지정 LDAP 디렉터리 스키마를 포함합니다. 자세한 내용은 Identity Management 설치를 참조하십시오.
참고
사용자 지정 사용자 또는 그룹 스키마는 IdM에서 지원이 제한됩니다. 호환되지 않는 오브젝트 정의로 인해 마이그레이션 중에 문제가 발생할 수 있습니다.
성능상의 이유로 compat 플러그인을 비활성화합니다.
```
ipa-compat-manage disable
```
```
# ipa-compat-manage disable
```
Copy to Clipboard Toggle word wrap
스키마 호환성 기능 및 마이그레이션을 위해 비활성화할 때의 이점에 대한 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 사용할 스키마 및 스키마 호환성 기능을 참조하십시오.
IdM Directory Server 인스턴스를 다시 시작합니다.
```
systemctl restart dirsrv.target
```
```
# systemctl restart dirsrv.target
```
Copy to Clipboard Toggle word wrap
마이그레이션을 허용하도록 IdM 서버를 구성합니다.
```
ipa config-mod --enable-migration=TRUE
```
```
# ipa config-mod --enable-migration=TRUE
```
Copy to Clipboard Toggle word wrap
--enable-migration 을 TRUE로 설정하면 다음을 수행합니다.
- LDAP 추가 작업 중에 사전 해시된 암호를 허용합니다.
- 초기 Kerberos 인증에 실패하는 경우 암호 마이그레이션 시퀀스를 시도하도록 SSSD를 구성합니다. 자세한 내용은 LDAP에서 IdM으로 암호를 마이그레이션할 때 SSSD 사용 의 워크플로 섹션을 참조하십시오.
사용 사례에 맞는 옵션을 사용하여 IdM 마이그레이션 스크립트 ipa migrate-ds. 자세한 내용은 LDAP에서 IdM으로 마이그레이션 사용자 지정을 참조하십시오.
```
ipa migrate-ds --your-options ldap://ldap.example.com:389
```
```
# ipa migrate-ds --your-options ldap://ldap.example.com:389
```
Copy to Clipboard Toggle word wrap
참고
이전 단계 중 하나에서 compat 플러그인을 비활성화하지 않은 경우 ipa migrate-ds 에 --with-compat 옵션을 추가합니다.
# ipa migrate-ds --your-options --with-compat ldap://ldap.example.com:389
Copy to Clipboard Toggle word wrap
compat 플러그인을 다시 활성화합니다.
```
ipa-compat-manage enable
```
```
# ipa-compat-manage enable
```
Copy to Clipboard Toggle word wrap
IdM 디렉터리 서버를 다시 시작하십시오.
```
systemctl restart dirsrv.target
```
```
# systemctl restart dirsrv.target
```
Copy to Clipboard Toggle word wrap
모든 사용자가 암호를 마이그레이션한 경우 마이그레이션 모드를 비활성화합니다.
```
ipa config-mod --enable-migration=FALSE
```
```
# ipa config-mod --enable-migration=FALSE
```
Copy to Clipboard Toggle word wrap
선택 사항: 모든 사용자가 마이그레이션된 경우 LDAP 인증 대신 pam_krb5인 pam_krb5 인증을 사용하도록 SSSD 이외의 클라이언트를 재구성 하십시오. 자세한 내용은 RHEL 7 시스템 수준 인증 가이드 의 Kerberos 클라이언트 구성을 참조하십시오.
사용자가 해시된 Kerberos 암호를 생성하도록 합니다. LDAP에서 IdM으로 마이그레이션할 때 계획 암호 마이그레이션에 설명된 방법 중 하나를 선택합니다.
- SSSD 방법을 결정하는 경우 :
  - SSSD가 LDAP 디렉터리에서 IdM 디렉터리로 설치된 클라이언트를 이동하고 IdM에 클라이언트로 등록합니다. 이렇게 하면 필요한 키와 인증서가 다운로드됩니다.
    Red Hat Enterprise Linux 클라이언트에서 ipa-client-install 명령을 사용하여 이 작업을 수행할 수 있습니다. 예를 들면 다음과 같습니다.
    
    # ipa-client-install --enable-dns-update
    
    Copy to Clipboard Toggle word wrap
- IdM 마이그레이션 웹 페이지 방법을 결정하는 경우:
  - 마이그레이션 웹 페이지를 사용하여 IdM에 로그인하도록 사용자에게 지시합니다.
    
    https://ipaserver.example.com/ipa/migration
    
    Copy to Clipboard Toggle word wrap
사용자 마이그레이션 프로세스를 모니터링하려면 기존 LDAP 디렉터리를 쿼리하여 암호가 있지만 Kerberos 보안 키가 없는 사용자 계정을 확인합니다.
```
ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid
```
```
$ ldapsearch -LL -x -D 'cn=Directory Manager' -w secret -b 'cn=users,cn=accounts,dc=example,dc=com' '(&(!(krbprincipalkey=))(userpassword=))' uid
```
Copy to Clipboard Toggle word wrap
참고
쉘에서 해석하지 않도록 필터 주변의 작은따옴표를 포함합니다.
모든 클라이언트 및 사용자의 마이그레이션이 완료되면 LDAP 디렉토리를 제거하십시오.

검증

ipa user-add 명령을 사용하여 IdM에 테스트 사용자를 생성합니다. 마이그레이션된 사용자의 출력을 test 사용자의 출력과 비교합니다. 마이그레이션된 사용자에게 테스트 사용자에게 최소한의 속성 및 개체 클래스가 포함되어 있는지 확인합니다. 예를 들면 다음과 같습니다.

ipa user-show --all testing_user
dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
User login: testing_user
First name: testing
Last name: user
Full name: testing user
Display name: testing user
Initials: tu
Home directory: /home/testing_user
GECOS: testing user
Login shell: /bin/sh
Principal name: testing_user@IDM.EXAMPLE.COM
Principal alias: testing_user@IDM.EXAMPLE.COM
Email address: testing_user@idm.example.com
UID: 1689700012
GID: 1689700012
Account disabled: False
Preserved user: False
Password: False
Member of groups: ipausers
Kerberos keys available: False
ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
             ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry

$ ipa user-show --all testing_user
dn: uid=testing_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
User login: testing_user
First name: testing
Last name: user
Full name: testing user
Display name: testing user
Initials: tu
Home directory: /home/testing_user
GECOS: testing user
Login shell: /bin/sh
Principal name: testing_user@IDM.EXAMPLE.COM
Principal alias: testing_user@IDM.EXAMPLE.COM
Email address: testing_user@idm.example.com
UID: 1689700012
GID: 1689700012
Account disabled: False
Preserved user: False
Password: False
Member of groups: ipausers
Kerberos keys available: False
ipauniqueid: 843b1ac8-6e38-11ec-8dfe-5254005aad3e
mepmanagedentry: cn=testing_user,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
objectclass: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject,
             ipasshuser, ipaSshGroupOfPubKeys, mepOriginEntry

Copy to Clipboard

Toggle word wrap

원래 LDAP 서버에 표시된 것처럼 마이그레이션된 사용자의 출력을 소스 사용자와 비교합니다. 가져온 속성이 두 번 복사되지 않고 올바른 값이 있는지 확인합니다.

5.6. LDAP 서버를 IdM으로 마이그레이션

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links