第 1 章 将 IdM 环境从 RHEL 8 服务器迁移到 RHEL 9 服务器
要将 RHEL 8 IdM 环境升级到 RHEL 9,您必须首先为 RHEL 8 IdM 环境添加新的 RHEL 9 IdM 副本,然后停用 RHEL 8 服务器。迁移涉及将 Red Hat Enterprise Linux (RHEL) 8 服务器中的所有身份管理(IdM)数据和配置移到 RHEL 9 服务器。
尽快迁移 IdM 部署中的所有服务器。在同一部署中长时间混合使用不同的 IdM 版本可能导致不兼容,甚至可能导致无法恢复的数据损坏。
- 不支持将 RHEL 8 IdM 服务器原位升级到 RHEL 9。
- 有关在 FIPS 模式的 RHEL 8 IdM 部署中添加 RHEL 9 IdM 副本的更多信息,请参阅 采用 RHEL 9 的注意事项 中的 身份管理 部分。
将 IdM 副本升级到 RHEL 9.2 后,IdM Kerberos 分发中心(KDC)可能无法向没有分配给其帐户安全标识符(SID)的用户发出票据授予票(TGT)。因此,用户无法登录到其帐户。
要临时解决这个问题,请通过在拓扑中的另一个 IdM 副本上以 IdM 管理员身份运行
evince ipa config-mod --enable-sid --add-sids
来生成 SID。之后,如果用户仍然无法登录,请检查目录服务器错误日志。您可能需要调整 ID 范围使其包含用户 POSIX 身份。不支持直接从 RHEL 7 或更早版本迁移到 RHEL 9。要正确更新 IdM 数据,您必须执行增量迁移。
例如,要将 RHEL 7 IdM 环境迁移到 RHEL 9:
- 从 RHEL 7 服务器迁移到 RHEL 8 服务器。请参阅 迁移到 RHEL 8 上的身份管理。
- 如本节所述,从 RHEL 8 服务器迁移到 RHEL 9 服务器。
这部分描述了如何将所有身份管理(IdM)数据和配置从 Red Hat Enterprise Linux(RHEL)8 服务器 迁移到 RHEL 9 服务器。
迁移步骤包括:
- 配置 RHEL 9 IdM 服务器并将其作为副本添加到您当前的 RHEL 8 IdM 环境中。详情请参阅安装 RHEL 9 Replica。
- 使 RHEL 9 服务器成为证书颁发机构(CA)续订服务器。详情请参阅 将 CA 续订服务器角色分配给 RHEL 9 IdM 服务器。
- 在 RHEL 8 服务器上停止证书撤销列表(CRL)的生成,并将 CRL 请求重定向到 RHEL 9 副本。详情请参阅在 RHEL 8 IdM CA 服务器中停止 CRL 生成。
- 在 RHEL 9 服务器上启动 CRL 的生成。详情请参阅在新的 RHEL 9 IdM CA 服务器中启动 CRL 生成。
- 停止并弃用原始 RHEL 8 CA 续订服务器。详情请参阅停止和弃用 RHEL 8 服务器。
在以下步骤中:
-
rhel9.example.com
是 RHEL 9 系统,它将成为新的 CA 续订服务器。 rhel8.example.com
是原始 RHEL 8 CA 续订服务器。要识别哪个 Red Hat Enterprise Linux 8 服务器是 CA 续订服务器,在任何 IdM 服务器上运行以下命令:[root@rhel8 ~]# ipa config-show | grep "CA renewal" IPA CA renewal master: rhel8.example.com
如果您的 IdM 部署没有使用 IdM CA,在 RHEL 8 中运行的任何 IdM 服务器都可以是
rhel8.example.com
。
只有 在您的 IdM 部署使用嵌入式证书颁发机构(CA)时,才完成以下章节中的步骤:
1.1. 将 IdM 从 RHEL 8 迁移到 9 的先决条件
在 rhel8.example.com
上:
将系统升级到最新的 RHEL 8 版本。
重要如果您要迁移到 RHEL 9.0,请不要更新至比 RHEL 8.6 较新的版本。RHEL 9.1 仅支持从 RHEL 8.7 迁移。
将 ipa-* 软件包更新至其最新版本:
[root@rhel8 ~]# dnf update ipa-*
警告当升级多个身份管理(IdM)服务器时,在每次升级之间至少等待 10 分钟。
当两个或更多个服务器同时升级,或在不同升级之间只能简短的间隔,则可能没有足够的时间来在整个拓扑间复制升级后的数据变化,从而会导致复制事件冲突。
在 rhel9.example.com
上:
- 在系统上已安装了最新版本的Red Hat Enterprise Linux。如需更多信息,请参阅 从安装介质交互式安装 RHEL。
-
确保系统是注册到
rhel8.example.com
IdM 服务器授权域的 IdM 客户端。如需更多信息,请参阅安装 IdM 客户端:基本场景 。 - 确定系统满足 IdM 服务器安装的要求。请参阅为 IdM 服务器安装准备系统。
确保时间服务器
rhel8.example.com
同步:[root@rhel8 ~]# ntpstat synchronised to NTP server (ntp.example.com) at stratum 3 time correct to within 42 ms polling server every 1024 s
- 确定系统已授权安装 IdM 副本。请参阅授权 IdM 客户端中的副本安装。
将 ipa-* 软件包更新至其最新版本:
[root@rhel8 ~]# dnf update ipa-*
其他资源
要决定您要在新的 IdM 主服务器
rhel9.example.com
上安装哪些服务器角色,请查看以下链接:- 有关 IdM 中 CA 服务器角色的详情,请参阅 规划您的 CA 服务。
- 有关 IdM 中 DNS 服务器角色的详情,请参阅 规划您的 DNS 服务和主机名。
- 有关基于 IdM 和活动目录(AD)之间跨林信任的集成的详情,请参阅 规划 IdM 和 AD 之间的跨林信任。
- 要在 RHEL 9 中为 IdM 安装特定的服务器角色,您需要从特定的 IdM 软件仓库下载软件包: 安装 IdM 服务器所需的软件包。
- 要将系统从 RHEL 8 升级到 RHEL 9,请参阅 从 RHEL 8 升级到 RHEL 9。