Product SiteDocumentation Site

Глава 23. Миграция по сети

Для миграции необходимо подготовить новый сервер с теми же DNS-доменом и Kerberos-областью, что и у исходного (см. Установка FreeIPA с интегрированным DNS, с интегрированным CA в качестве корневого CA).
Доступны два режима миграции:
  • Режим production (prod mode) — для переноса с действующего сервера, сохраняет существующие диапазоны UID/GID и SID;
  • Режим staging (stage mode) — для тестовых сред; генерирует новые диапазоны UID/GID и SID.
Процедура миграции:
  1. Подключиться к новому (локальному) серверу.
  2. Выполнить команду: 
    # ipa-migrate prod-mode ipa.example.test
    где ipa.example.test — FQDN сервера, с которого будет производиться миграция (удалённый сервер).
  3. Ввести пароль Directory Manager: 
    Enter the password for cn=directory manager:
  4. Подтвердить необратимость операции (для продолжения необходимо ввести yes): 
    Warning - the migration process is irreversible!  Make sure you have a backup of the local IPA server before doing the migration
To proceed type "yes": yes
  5. Дождаться завершения миграции: 
    Initializing ...
Connecting to local server ...
IPA to IPA migration starting ...
Migrating schema ...
Migrating configuration ...
Migrating database ... (this make take a while)
Processed 554 entries.
Running ipa-server-upgrade ... (this make take a while)
Running SIDGEN task ...
Migration complete!
…
  6. После завершения отобразятся рекомендации: 
    Action Items (4 items)
----------------------
 - You will have to manually migrate IDM related configuration files.  Here are some, but not all, of the configuration files to look into:
    - /etc/ipa/*
    - /etc/sssd/sssd.conf
    - /etc/named.conf
    - /etc/named/*
    - ...
 - SSSD should be restarted after a successful migration
 - The local server is in migration mode. Once all migration tasks are done you will have to take the server out of migration mode.
 - The admin password is not migrated from the remote server. Reset it manually if needed.
===============================================================================
Завершение миграции:
  1. Сравнить файлы на локальном и удалённом сервере и, при необходимости, обновить конфигурационные файлы на новом сервере:
    • /etc/ipa/* — основные файлы FreeIPA;
    • /etc/sssd/sssd.conf — конфигурация SSSD;
    • /etc/named.conf — конфигурация BIND;
    • /etc/named/* — зоны и ключи DNS.
  2. Перезапустить SSSD: 
    # systemctl restart sssd
  3. Сбросить пароль администратора (пароль не переносится автоматически): 
    $ kinit admin
$ ipa passwd admin
  4. Обновить сервер: 
    # ipa-server-upgrade

Примечание

Записи узлов сохраняются в каталоге, но клиенты могут потребовать обновления keytab или сертификатов (необходима перерегистрация командой ipa-client-install). Сертификаты, выданные старым CA, недействительны — их необходимо перевыпустить. Keytab, созданные вручную, следует воссоздать с помощью команды ipa-getkeytab