Назад | Перейти на главную страницу

Реплика между FreeIPA 3.3 и FreeIPA 4

Я пытаюсь перенести наши данные с FreeIPA 3.3 CentOS 6.5 на FreeIPA 4 на Fedora 21

  1. Я попытался создать реплику на IPA 4.1.2 с IPA 3.3, но это не сработало

Получил эту ошибку 

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/22]: creating certificate server user
  [2/22]: configuring certificate server instance
ipa         : CRITICAL failed to configure ca instance Command ''/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmp9RduZt'' returned non-zero exit status 1
  [error] RuntimeError: Configuration of CA failed

Поэтому я перешел к своему второму варианту резервного копирования и восстановления.

  1. Я использовал эти две команды

Резервное копирование 

db2ldif -Z serverID  -n userRoot -a export.ldif

Восстановить 

ldif2db -D "directory manager" -n userRoot -i export.ldif

Данные были импортированы, но после этого я не смог войти в систему с учетными данными администратора, которые были созданы в процессе установки.

Может ли кто-нибудь помочь в этом?

  1. Лучше всего выполнить миграцию с использованием более новой реплики. В какую ошибку вы попали?
  2. Данные LDAP необходимо обновить с 3.x до 4.x, вы столкнетесь с некоторыми проблемами. Это не будет работать.

Если вам нужно просто перенести пользователей, вы можете попробовать сценарий migrate-ds.

Я не понимаю, что вы имеете в виду, говоря о переносе данных.

  • Если вы хотите просто обновить FreeIPA 3.4 до последней версии FreeIPA 4.1.2, вы можете просто сделать это и обновить пакеты / ОС (HOWTO статья).
  • Если вы хотите перейти на другую операционную систему без обновления старой, вам нужно будет создать реплику (HOWTO статья).
  • Если вы хотите отказаться от текущей области FreeIPA и создать новую, лучший способ - установить новый сервер FreeIPA, а затем использовать команду migrate-ds для миграции ваших пользователей. Перенос других записей зависит от вас, скрипта миграции FreeIPA-FreeIPA пока нет.

Просто обратите внимание, что вы не можете просто создать новую реплику и заменить LDAP DIT. Мало того, что версия данных и версия FreeIPA не будут совпадать, вы также нарушите работу FreeIPA, поскольку новый FreeIPA имеет разные ключи PKI / Kerberos, и данные не будут совпадать.

Если вы пытаетесь установить реплику и сталкиваетесь с ошибкой, соберите ipareplica-install.log и все журналы PKI и сообщите об ошибке в FreeIPA / Dogtag Trac или Freeipa-пользователи список.