第 40 章 从非 RHEL Linux 发行版上的 FreeIPA 迁移到 RHEL 7 上的 IdM
要将非 RHEL Linux 发行版上的 FreeIPA 部署迁移到 RHEL 7 服务器上的身份管理(IdM)部署,您必须首先将新的 RHEL 7 IdM 证书颁发机构(CA)副本添加到现有 FreeIPA 环境中,将与证书相关的角色传送到它,然后停用非 RHEL FreeIPA 服务器。
重要
不支持使用 Convert2RHEL 工具执行非 RHEL FreeIPA 服务器的原位升级到 RHEL 7 IdM 服务器。
先决条件
- 您已确定了非 RHEL FreeIPA 证书颁发机构(CA)续订服务器的域级别。如需更多信息,请参阅 显示当前域级别。
- 您已在要成为新的 CA 续订服务器的系统中安装了 RHEL 7.9。
步骤
要执行迁移,请按照 将身份管理从 Red Hat Enterprise Linux 6 迁移到版本 7 相同的步骤,使用您的非 RHEL FreeIPA CA 服务器作为 RHEL 6 服务器:
- 如果原始非 RHEL CA 续订服务器正在运行 FreeIPA 版本 3.1 或更早版本,请更新身份管理架构。要显示已安装的 FreeIPA 版本,请使用
ipa --version
命令。 - 配置 RHEL 7 服务器,并将其作为 IdM 副本添加到非 RHEL Linux 发行版的当前 FreeIPA 环境中。如果您的域的域级别为 0,请参阅安装 RHEL 7 Replica。如果域级别为 1,请按照 创建 Replica 中描述的步骤操作:简介。
- 使 RHEL 7 复制 CA 续订服务器,停止在非 RHEL 服务器上生成证书撤销列表(CRL),并将 CRL 请求重定向到 RHEL 7 副本。详情请参阅 将 CA 服务转换到 Red Hat Enterprise Linux 7 服务器。
- 停止原始的非 RHEL FreeIPA CA 续订服务器,以强制域发现新的 RHEL 7 服务器。详情请参阅 停止 Red Hat Enterprise Linux 6 服务器。
- 在其他 RHEL 7 系统上安装新副本并弃用非 RHEL 服务器。详情请参阅 迁移 master CA 服务器后的后续步骤。重要红帽建议在您的拓扑中只有一个主 RHEL 版本的 IdM 副本。因此,不要延迟停用旧服务器。