第 2 章将 IdM 环境从 RHEL 7 服务器迁移到 RHEL 8 服务器

要将 RHEL 7 IdM 环境升级到 RHEL 8，您必须首先在 RHEL 7 IdM 环境中添加新的 RHEL 8 IdM 副本，然后停用 RHEL 7 服务器。

警告

不支持将 RHEL 7 IdM 服务器和 IdM 服务器节点的原位升级到 RHEL 8。
不支持直接从 RHEL 6 或更早版本迁移到 RHEL 8。要正确更新 IdM 数据，您必须执行增量迁移。
例如，将 RHEL 6 IdM 环境迁移到 RHEL 8：
1. 从 RHEL 6 服务器迁移到 RHEL 7 服务器。请参阅将身份管理从 Red Hat Enterprise Linux 6 迁移到版本 7。
2. 从 RHEL 7 服务器迁移到 RHEL 8 服务器，如本节所述。

重要

RHEL 8 支持 SPAKE 和 IdP 预身份验证，但 RHEL 7 不支持。在 RHEL 7 IdM 部署中启用了 SPAKE 或 IdP 的 RHEL 8 服务器可能会导致问题，如用户无法登录。因此，尽快迁移 IdM 部署中的所有服务器。

这个流程描述了如何将所有身份管理(IdM)数据和配置从 Red Hat Enterprise Linux (RHEL) 7 服务器迁移到 RHEL 8 服务器。您还可以使用此流程将非 RHEL Linux 发行版上的 FreeIPA 服务器迁移到 RHEL 8 服务器上的 IdM。

主要迁移步骤包括：

配置 RHEL 8 IdM 服务器并将其作为副本添加到您当前的 RHEL 7 IdM 环境中。详情请参阅安装 RHEL 8 Replica。
使 RHEL 8 服务器成为证书颁发机构(CA)续订服务器。详情请参阅将 CA 续订服务器角色分配给 RHEL 8 IdM 服务器。
在 RHEL 7 服务器上停止生成证书撤销列表(CRL)，并将 CRL 请求重定向到 RHEL 8。详情请参阅在 RHEL 7 IdM CA 服务器上停止生成 CRL 。
在 RHEL 8 服务器上启动 CRL 的生成。详情请参阅在新的 RHEL 8 IdM CA 服务器中启动 CRL 生成。
停止并弃用原始 RHEL 7 CA 续订服务器。详情请参阅停止和弃用 RHEL 7 服务器。

大型或复杂部署的其他流程

对于大型、地理分布或关键任务 IdM 部署，强烈建议使用以下可选流程来确保拓扑健康状况并防止服务中断：

在开始迁移前，请查看策略指导，并考虑哪些可选流程适用于您的部署：

在以下步骤中：

rhel8.example.com 是将成为新的 CA 续订服务器的 RHEL 8 系统。
rhel7.example.com 是最初的 RHEL 7 CA 续订服务器。
如果您的 IdM 部署没有使用证书颁发机构(CA)，则任何运行在 RHEL 7 上的 IdM 服务器都可以是 rhel7.example.com。

2.1. 迁移大型和标准 IdM 部署的策略
复制链接

迁移大型或地理分布式身份管理(IdM)拓扑需要额外的规划以确保服务连续。虽然核心迁移步骤（安装新副本、将其建立为 CA 续订服务器和弃用旧服务器）均适用于所有部署，但大型环境受益于更严格的清单和验证过程。

迁移工作流比较

下表重点介绍了与标准单服务器或小型集群迁移相比，大型或复杂拓扑的建议额外步骤。

Expand

步骤	标准迁移	大型/复杂迁移
1.清单拓扑	可选。	强烈推荐.记录所有服务器角色和复制协议，以确保在副本替换过程中不会丢失任何关键服务(CA、DNS、KRA、AD Trust)。
2.记录 DNA ID 范围	可选。	强烈推荐.记录分配的 ID 范围，以防止在没有重新分配的情况下停用大量范围的服务器。
3.重复使用服务器主机名	很少需要。	条件.如果重复使用主机名，请等待重复完全聚合，然后再重新安装。快速移除和添加可能会导致高延迟拓扑冲突。
4.安装新的 Replica	必需。	必需。确保新副本安装了与它所替换的角色相同的角色。在验证过程中运行 Healthcheck，以捕获早期的问题。
5.分配 CA 续订角色	必需（如果使用集成的 CA）。	必需（如果使用集成的 CA）。在继续操作前，验证角色分配复制。
6.管理 CRL 代	必需（如果使用集成的 CA）。	必需（如果使用集成的 CA）。在旧服务器上停止 CRL，重定向请求，在新服务器上启动。
7.更新客户端配置	自动（大多）。	可能需要手动更新。固定到 `ipa.conf` 或 `sssd.conf` 中的特定服务器的客户端必须更新为指向新副本。
8.停用旧的服务器	必需。	必需。验证没有唯一角色丢失，并允许复制聚合。

大型部署的战略性考虑