搜索

第 1 章 将 IdM 环境从 RHEL 8 服务器迁移到 RHEL 9 服务器

download PDF

要将 RHEL 8 IdM 环境升级到 RHEL 9,您必须首先为 RHEL 8 IdM 环境添加新的 RHEL 9 IdM 副本,然后停用 RHEL 8 服务器。迁移涉及将 Red Hat Enterprise Linux (RHEL) 8 服务器中的所有身份管理(IdM)数据和配置移到 RHEL 9 服务器。

重要

尽快迁移 IdM 部署中的所有服务器。在同一部署中长时间混合使用不同的 IdM 版本可能导致不兼容,甚至可能导致无法恢复的数据损坏。

警告
  • 不支持将 RHEL 8 IdM 服务器原位升级到 RHEL 9。
  • 有关在 FIPS 模式的 RHEL 8 IdM 部署中添加 RHEL 9 IdM 副本的更多信息,请参阅 采用 RHEL 9 的注意事项 中的 身份管理 部分。
  • 将 IdM 副本升级到 RHEL 9.2 后,IdM Kerberos 分发中心(KDC)可能无法向没有分配给其帐户安全标识符(SID)的用户发出票据授予票(TGT)。因此,用户无法登录到其帐户。

    要临时解决这个问题,请通过在拓扑中的另一个 IdM 副本上以 IdM 管理员身份运行 evince ipa config-mod --enable-sid --add-sids 来生成 SID。之后,如果用户仍然无法登录,请检查目录服务器错误日志。您可能需要调整 ID 范围使其包含用户 POSIX 身份。

  • 不支持直接从 RHEL 7 或更早版本迁移到 RHEL 9。要正确更新 IdM 数据,您必须执行增量迁移。

    例如,要将 RHEL 7 IdM 环境迁移到 RHEL 9:

    1. 从 RHEL 7 服务器迁移到 RHEL 8 服务器。请参阅 迁移到 RHEL 8 上的身份管理
    2. 如本节所述,从 RHEL 8 服务器迁移到 RHEL 9 服务器。

这部分描述了如何将所有身份管理(IdM)数据和配置从 Red Hat Enterprise Linux(RHEL)8 服务器 迁移到 RHEL 9 服务器。

迁移步骤包括:

  1. 配置 RHEL 9 IdM 服务器并将其作为副本添加到您当前的 RHEL 8 IdM 环境中。详情请参阅安装 RHEL 9 Replica
  2. 使 RHEL 9 服务器成为证书颁发机构(CA)续订服务器。详情请参阅 将 CA 续订服务器角色分配给 RHEL 9 IdM 服务器
  3. 在 RHEL 8 服务器上停止证书撤销列表(CRL)的生成,并将 CRL 请求重定向到 RHEL 9 副本。详情请参阅在 RHEL 8 IdM CA 服务器中停止 CRL 生成
  4. 在 RHEL 9 服务器上启动 CRL 的生成。详情请参阅在新的 RHEL 9 IdM CA 服务器中启动 CRL 生成
  5. 停止并弃用原始 RHEL 8 CA 续订服务器。详情请参阅停止和弃用 RHEL 8 服务器

在以下步骤中:

  • rhel9.example.com 是 RHEL 9 系统,它将成为新的 CA 续订服务器。
  • rhel8.example.com 是原始 RHEL 8 CA 续订服务器。要识别哪个 Red Hat Enterprise Linux 8 服务器是 CA 续订服务器,在任何 IdM 服务器上运行以下命令:

    [root@rhel8 ~]# ipa config-show | grep "CA renewal"
    IPA CA renewal master: rhel8.example.com

    如果您的 IdM 部署没有使用 IdM CA,在 RHEL 8 中运行的任何 IdM 服务器都可以是 rhel8.example.com

注意

只有 在您的 IdM 部署使用嵌入式证书颁发机构(CA)时,才完成以下章节中的步骤:

1.1. 将 IdM 从 RHEL 8 迁移到 9 的先决条件

rhel8.example.com 上:

  1. 将系统升级到最新的 RHEL 8 版本。

    重要

    如果您要迁移到 RHEL 9.0,请不要更新至比 RHEL 8.6 较新的版本。RHEL 9.1 仅支持从 RHEL 8.7 迁移。

  2. ipa-* 软件包更新至其最新版本:

    [root@rhel8 ~]# dnf update ipa-*
    警告

    当升级多个身份管理(IdM)服务器时,在每次升级之间至少等待 10 分钟。

    当两个或更多个服务器同时升级,或在不同升级之间只能简短的间隔,则可能没有足够的时间来在整个拓扑间复制升级后的数据变化,从而会导致复制事件冲突。

rhel9.example.com 上:

  1. 在系统上已安装了最新版本的Red Hat Enterprise Linux。如需更多信息,请参阅 从安装介质交互式安装 RHEL
  2. 确保系统是注册到 rhel8.example.com IdM 服务器授权域的 IdM 客户端。如需更多信息,请参阅安装 IdM 客户端:基本场景
  3. 确定系统满足 IdM 服务器安装的要求。请参阅为 IdM 服务器安装准备系统
  4. 确保时间服务器 rhel8.example.com 同步:

    [root@rhel8 ~]# ntpstat
    synchronised to NTP server (ntp.example.com) at stratum 3
       time correct to within 42 ms
       polling server every 1024 s
  5. 确定系统已授权安装 IdM 副本。请参阅授权 IdM 客户端中的副本安装
  6. ipa-* 软件包更新至其最新版本:

    [root@rhel8 ~]# dnf update ipa-*

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.