Red Hat Training

A Red Hat training course is available for RHEL 8

28.2. Inscripción del anfitrión

Esta sección describe la inscripción de hosts como clientes de IdM y lo que ocurre durante y después de la inscripción. La sección compara la inscripción de hosts y usuarios de IdM. La sección también describe los tipos alternativos de autenticación disponibles para los hosts.

La inscripción de un anfitrión consiste en:

  • Creación de una entrada de host en IdM LDAP: posiblemente utilizando el comandoipa host-add en la CLI de IdM, o la operación equivalente de la interfaz web de IdM.
  • Configurar los servicios de IdM en el host, por ejemplo, el demonio de servicios de seguridad del sistema (SSSD), Kerberos y certmonger, y unir el host al dominio de IdM.

Las dos acciones pueden realizarse por separado o conjuntamente.

Si se realizan por separado, permiten dividir las dos tareas entre dos usuarios con diferentes niveles de privilegio. Esto es útil para los despliegues masivos.

El comando ipa-client-install puede realizar las dos acciones juntas. El comando crea una entrada de host en el LDAP de IdM si esa entrada aún no existe, y configura los servicios Kerberos y SSSD para el host. El comando introduce el host en el dominio IdM y le permite identificar el servidor IdM con el que se conectará. Si el host pertenece a una zona DNS gestionada por IdM, ipa-client-install también añade registros DNS para el host. El comando debe ejecutarse en el cliente.

28.2.1. Privilegios de usuario necesarios para la inscripción en el host

La operación de inscripción de hosts requiere autenticación para evitar que un usuario sin privilegios añada máquinas no deseadas al dominio de IdM. Los privilegios necesarios dependen de varios factores, por ejemplo:

  • Si se crea una entrada de host por separado de la ejecución de ipa-client-install
  • Si se utiliza una contraseña de un solo uso (OTP) para la inscripción
Privilegios de usuario para crear manualmente una entrada de host en IdM LDAP

El privilegio de usuario necesario para crear una entrada de host en IdM LDAP mediante el comando CLI ipa host-add o la interfaz web de IdM es Host Administrators. El privilegio Host Administrators se puede obtener a través del rol IT Specialist.

Privilegios de usuario para unir el cliente al dominio IdM

Los hosts se configuran como clientes IdM durante la ejecución del comando ipa-client-install. El nivel de credenciales necesario para ejecutar el comando ipa-client-install depende de cuál de los siguientes escenarios de inscripción se encuentre:

  • La entrada del host en IdM LDAP no existe. Para este escenario, necesita las credenciales de un administrador completo o el rol Host Administrators. Un administrador completo es un miembro del grupo admins. La función Host Administrators proporciona privilegios para añadir hosts y registrar hosts. Para más detalles sobre este escenario, consulte Instalación de un cliente con credenciales de usuario: instalación interactiva.
  • La entrada del host en IdM LDAP existe. Para este escenario, se necesitan las credenciales de un administrador limitado para ejecutar ipa-client-install con éxito. El administrador limitado en este caso tiene el rol Enrollment Administrator, que proporciona el privilegio Host Enrollment. Para obtener más detalles, consulte Instalación de un cliente con credenciales de usuario: instalación interactiva.
  • La entrada del host en el LDAP de IdM existe, y un administrador completo o limitado ha generado un OTP para el host. En este caso, puede instalar un cliente IdM como un usuario normal si ejecuta el comando ipa-client-install con la opción --password, proporcionando la OTP correcta. Para obtener más información, consulte Instalación de un cliente mediante una contraseña de un solo uso: Instalación interactiva.

Tras la inscripción, los hosts de IdM autentican cada nueva sesión para poder acceder a los recursos de IdM. La autenticación de la máquina es necesaria para que el servidor IdM confíe en ella y acepte las conexiones IdM del software cliente instalado en esa máquina. Después de autenticar al cliente, el servidor IdM puede responder a sus solicitudes.