第 7 章 将现有环境从同步迁移到信任


同步 和信任是间接集成两种可能的方法。通常不建议同步,红帽建议改为使用基于 Active Directory(AD)信任的方法。详情请查看 第 1.3 节 “间接集成”
本章论述了如何将现有基于同步的设置迁移到 AD 信任。IdM 中提供以下迁移选项:

7.1. 使用 ipa-winsync-migrate自动从 Synchronization 迁移到 Trust

重要
ipa-winsync-migrate 实用程序仅在运行 Red Hat Enterprise Linux 7.2 或更高版本的系统上可用。

7.1.1. 如何使用 ipa-winsync-migrate Works 进行迁移

ipa-winsync-migrate 实用程序将所有同步的用户从 AD 林迁移,同时保留 Winsync 环境中的现有配置,并将其传送到 AD 信任中。对于 Winsync 协议创建的每个 AD 用户,ipa-winsync-migrate 在 Default Trust View 中创建了一个 ID 覆盖(请参阅 第 8.1 节 “Active Directory 默认信任视图”)。
迁移完成后:
  • AD 用户的 ID 覆盖具有以下从 Winsync 中的原始条目复制的属性:
    • 登录名(uid)
    • UID号(uid 号
    • GID号(gid number)
    • 主目录(主目录
    • GECOS条目(gecos)
  • AD 信任中的用户帐户将其原始配置保留在 IdM 中,其中包括:
    • POSIX 属性
    • 用户组
    • 基于角色的访问控制规则
    • 基于主机的访问控制规则
    • SELinux 成员资格
    • sudo 规则
  • 新 AD 用户添加为外部 IdM 组的成员。
  • 删除原始 Winsync 复制协议、原始同步用户帐户和用户帐户的所有本地副本。

7.1.2. 如何使用 ipa-winsync-migrate 进行迁移

开始之前:
迁移:
  1. 运行 ipa-winsync-migrate 并指定 AD 域和 AD 域控制器的主机名:
    # ipa-winsync-migrate --realm example.com --server ad.example.com
    如果在 ipa-winsync-migrate 创建的覆盖中发生冲突,则会显示有关冲突的信息,但迁移继续进行。
  2. 从 AD 服务器卸载 Password Sync 服务。这会从 AD 域控制器移除同步协议。
有关该实用程序的详情,请查看 ipa-winsync-migrate(1) man page。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.