FreeIPA 3.3到FreeIPA 4之间的复制

Question

我试图将我们的数据从FreeIPA 3.3 CentOS 6.5转移到Fedora 21上的FreeIPA 4

1. 我试着用IPA3.3在IPA 4.1.2上创建一个副本，但没有成功

得到了这个错误

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/22]: creating certificate server user
  [2/22]: configuring certificate server instance
ipa         : CRITICAL failed to configure ca instance Command ''/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmp9RduZt'' returned non-zero exit status 1
  [error] RuntimeError: Configuration of CA failed

因此，我继续我的第二个选项备份和恢复。

1. 我使用了这两个命令

备份

db2ldif -Z serverID  -n userRoot -a export.ldif

恢复

ldif2db -D "directory manager" -n userRoot -i export.ldif

数据是导入的，但之后我无法使用在安装过程中创建的管理凭据登录。

有人能帮忙吗？

Answer 1

1. 最好的方法是使用更新的副本进行迁移。你撞到了哪个错误？
2. LDAP数据需要从3.x更新到4.x，您将遇到一些问题。这不管用。

如果您只需要迁移用户，可以尝试迁移-ds脚本。

Answer 2

我不知道你移动数据是什么意思。

• 如果您只想从FreeIPA 3.4升级到最新的FreeIPA 4.1.2，您可以这样做并更新包/OS (如何使用文章)。
• 如果要迁移到不同的操作系统而不升级旧操作系统，则需要创建副本(如何使用文章)。
• 如果您想放弃当前的FreeIPA领域并创建一个新的领域，最好的方法是安装一个新的FreeIPA服务器，然后使用migrate命令迁移您的用户。迁移其他条目将取决于您，FreeIPA-FreeIPA迁移脚本还没有出现。

请注意，您不能只创建一个新的副本并替换LDAP DIT。不仅数据版本和FreeIPA版本不匹配，而且还会破坏FreeIPA，因为新的FreeIPA有不同的PKI/Kerberos密钥和数据不匹配。

如果您试图安装一个副本，并且遇到错误，请收集ipareplica-install.log和所有PKI日志，并向FreeIPA/Dogtag Trac或freeipa用户列表报告一个错误。