第 7 章 将现有环境从同步迁移到信任
同步 和信任是间接集成两种可能的方法。通常不建议同步,红帽建议改为使用基于 Active Directory(AD)信任的方法。详情请查看 第 1.3 节 “间接集成”。
本章论述了如何将现有基于同步的设置迁移到 AD 信任。IdM 中提供以下迁移选项:
7.1. 使用 ipa-winsync-migrate
自动从 Synchronization 迁移到 Trust
重要
ipa-winsync-migrate
实用程序仅在运行 Red Hat Enterprise Linux 7.2 或更高版本的系统上可用。
7.1.1. 如何使用 ipa-winsync-migrate Works 进行迁移
ipa-winsync-migrate
实用程序将所有同步的用户从 AD 林迁移,同时保留 Winsync 环境中的现有配置,并将其传送到 AD 信任中。对于 Winsync 协议创建的每个 AD 用户,ipa-winsync-migrate
在 Default Trust View 中创建了一个 ID 覆盖(请参阅 第 8.1 节 “Active Directory 默认信任视图”)。
迁移完成后:
- AD 用户的 ID 覆盖具有以下从 Winsync 中的原始条目复制的属性:
- 登录名
(uid
) - UID
号(uid 号
) - GID
号(gid number
) 主目录(主目录
)- GECOS
条目(gecos
)
- AD 信任中的用户帐户将其原始配置保留在 IdM 中,其中包括:
- POSIX 属性
- 用户组
- 基于角色的访问控制规则
- 基于主机的访问控制规则
- SELinux 成员资格
sudo
规则
- 新 AD 用户添加为外部 IdM 组的成员。
- 删除原始 Winsync 复制协议、原始同步用户帐户和用户帐户的所有本地副本。
7.1.2. 如何使用 ipa-winsync-migrate 进行迁移
开始之前:
- 使用
ipa-backup
实用程序备份您的 IdM 设置。请参阅 Linux 域 身份、身份验证和策略指南中的备份和恢复 身份管理。原因:迁移会影响 IdM 配置和许多用户帐户的重要部分。如有必要,创建备份可让您恢复原始设置。
迁移:
- 运行
ipa-winsync-migrate
并指定 AD 域和 AD 域控制器的主机名:# ipa-winsync-migrate --realm example.com --server ad.example.com
如果在ipa-winsync-migrate
创建的覆盖中发生冲突,则会显示有关冲突的信息,但迁移继续进行。 - 从 AD 服务器卸载 Password Sync 服务。这会从 AD 域控制器移除同步协议。
有关该实用程序的详情,请查看 ipa-winsync-migrate(1) man page。