Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 1 章 将 IdM 环境从 RHEL 7 服务器迁移到 RHEL 8 服务器

要将 RHEL 7 IdM 环境升级到 RHEL 8,您必须首先在 RHEL 7 IdM 环境中添加新的 RHEL 8 IdM 副本,然后停用 RHEL 7 服务器。

警告
  • 不支持将 RHEL 7 IdM 服务器和 IdM 服务器节点的原位升级到 RHEL 8。

  • 不支持直接从 RHEL 6 或更早版本迁移到 RHEL 8。要正确更新 IdM 数据,您必须执行增量迁移。

    例如,将 RHEL 6 IdM 环境迁移到 RHEL 8:

    1. 从 RHEL 6 服务器迁移到 RHEL 7 服务器。请参阅 将身份管理从 Red Hat Enterprise Linux 6 迁移到版本 7
    2. 从 RHEL 7 服务器迁移到 RHEL 8 服务器,如本节所述。
重要

RHEL 8 支持 SPAKE 和 IdP 预身份验证,但 RHEL 7 不支持。在 RHEL 7 IdM 部署中启用了 SPAKE 或 IdP 的 RHEL 8 服务器可能会导致问题,如用户无法登录。因此,尽快迁移 IdM 部署中的所有服务器。

如需更多信息,请参阅红帽知识库解决方案 kerberos 中的预身份验证失败,以及对 AD 信任用户使用 2FA/OTP 身份验证

这个流程描述了如何将所有身份管理(IdM)数据和配置从 Red Hat Enterprise Linux (RHEL) 7 服务器 迁移 到 RHEL 8 服务器。您还可以使用此流程将非 RHEL Linux 发行版上的 FreeIPA 服务器迁移到 RHEL 8 服务器上的 IdM。

迁移步骤包括:

  1. 配置 RHEL 8 IdM 服务器并将其作为副本添加到您当前的 RHEL 7 IdM 环境中。详情请参阅安装 RHEL 8 Replica
  2. 使 RHEL 8 服务器成为证书颁发机构(CA)续订服务器。详情请参阅 将 CA 续订服务器角色分配给 RHEL 8 IdM 服务器
  3. 在 RHEL 7 服务器上停止生成证书撤销列表(CRL),并将 CRL 请求重定向到 RHEL 8。详情请参阅 在 RHEL 7 IdM CA 服务器上停止生成 CRL
  4. 在 RHEL 8 服务器上启动 CRL 的生成。详情请参阅在新的 RHEL 8 IdM CA 服务器中启动 CRL 生成
  5. 停止并弃用原始 RHEL 7 CA 续订服务器。详情请参阅停止和弃用 RHEL 7 服务器

在以下步骤中:

  • rhel8.example.com 是将成为新的 CA 续订服务器的 RHEL 8 系统。

  • rhel7.example.com 是最初的 RHEL 7 CA 续订服务器。要识别哪个 Red Hat Enterprise Linux 7 服务器是 CA 续订服务器,在任何 IdM 服务器上运行以下命令: 

    [root@rhel7 ~]# ipa config-show | grep "CA renewal"
IPA CA renewal master: rhel7.example.com
    Copy to Clipboard Toggle word wrap

    如果您的 IdM 部署没有使用证书颁发机构(CA),则任何运行在 RHEL 7 上的 IdM 服务器都可以是 rhel7.example.com

注意

1.1. 准备将 IdM 从 RHEL 7 迁移到 RHEL 8
复制链接

rhel7.example.com 上:

  1. 将系统升级到最新的 RHEL 7 版本。
  2. 确保域的域级别设置为 1。如需更多信息,请参阅 RHEL 7 的 Linux 域身份、身份验证和策略指南 中的 显示和提升域级别

  3. ipa-* 软件包更新至其最新版本: 

    [root@rhel7 ~]# yum update ipa-*
    Copy to Clipboard Toggle word wrap
    警告

    当升级多个身份管理(IdM)服务器时,在每次升级之间至少等待 10 分钟。

    当两个或更多个服务器同时升级,或在不同升级之间只能简短的间隔,则可能没有足够的时间来在整个拓扑间复制升级后的数据变化,从而会导致复制事件冲突。

rhel8.example.com 上:

  1. 在系统上安装最新版本的 Red Hat Enterprise Linux。如需更多信息,请参阅 从安装介质主动安装 RHEL

  2. 确定时间服务器 rhel7.example.com 与以下内容同步: 

    [root@rhel7 ~]# ntpstat
synchronised to NTP server (ntp.example.com) at stratum 3
   time correct to within 42 ms
   polling server every 1024 s
    Copy to Clipboard Toggle word wrap
    重要

    在 RHEL 8 中,IdM 不提供它自己的时间服务器:在 rhel8.example.com 上安装 IdM 不会导致在主机上安装 NTP 服务器。因此,您需要使用单独的 NTP 服务器,如 ntp.example.com。如需更多信息,请参阅 迁移到 chronyIdM 的时间服务要求

    尽管 rhel7.example.com 可用于 NTP 服务器角色,但作为迁移过程的一部分,您将停用服务器。因此,rhel8.example.com 需要直接与 ntp.example.com 同步。您可以在客户端安装过程中指定它。

  3. 将系统作为 IdM 客户端注册到 rhel7.example.com IdM 服务器具有权威的域。如需更多信息,请参阅 安装 IdM 客户端。安装客户端时,指定上一步中的时间服务器: 

    [root@rhel8]# ipa-client-install --mkhomedir --ntp-server ntp.example.com
    Copy to Clipboard Toggle word wrap

    如果您使用 NTP 服务器池,请使用 --ntp-pool 选项。

    如果您没有手动指定 NTP 服务器,它将自动从 DNS 记录设置。这可能导致 rhel8.example.comrhel7.example.com 同步。在 RHEL 7 服务器停用时,这会导致问题。

    如果 RHEL8 系统已经正确配置为 NTP 客户端,您可以在执行 IdM 客户端安装时使用 --no-ntp 选项。

    重要

    不要使用单标签域名,如 .company。从 RHEL 8 开始,IDM 不接受单标记的域名,域名必须由一个或多个子域和一个顶级域组成,如 example.comcompany.example.com

    如果现有域是单标记的,则无法使用这些说明执行迁移。在这些情况下,请使用 将 LDAP 服务器迁移到身份管理

  4. 为 IdM 服务器安装准备系统。请参阅 为 IdM 服务器安装准备系统
  5. 授权系统安装 IdM 副本。请参阅 在 IdM 客户端上授权副本安装

  6. ipa-* 软件包更新至其最新版本: 

    [root@rhel7 ~]# yum update ipa-*
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat