Red Hat Training

A Red Hat training course is available for RHEL 8

27.3. Operaciones de acogida

Esta sección enumera las operaciones más comunes relacionadas con la inscripción y habilitación de hosts, y explica los requisitos previos, el contexto y las consecuencias de realizarlas.

Tabla 27.3. Operaciones de acogida parte 1

Acción¿Cuáles son los requisitos de la acción?¿Cuándo tiene sentido ejecutar el comando?¿Cómo realiza la acción un administrador del sistema? ¿Qué comando(s) ejecuta?

Enrolling a client

consulte Preparación del sistema para la instalación del cliente de gestión de identidades en Installing_Identity_Management

Cuando quiera que el host se una al reino de IdM.

La inscripción de máquinas como clientes en el dominio IdM es un proceso de dos partes. Se crea una entrada de host para el cliente (y se almacena en la instancia 389 del servidor de directorios) cuando se ejecuta el comando ipa host-add y, a continuación, se crea un keytab para aprovisionar al cliente. Ambas partes son realizadas automáticamente por el comando ipa-client-install. También es posible realizar estos pasos por separado; esto permite a los administradores preparar las máquinas y el IdM antes de configurar los clientes. Esto permite escenarios de configuración más flexibles, incluyendo despliegues masivos.

Disabling a client

El host debe tener una entrada en IdM. El host debe tener un keytab activo.

Cuando se desea eliminar el host del ámbito de IdM temporalmente, quizás por motivos de mantenimiento.

ipa host-disable host_name

Enabling a client

El host debe tener una entrada en IdM.

Cuando quieras que el host temporalmente desactivado vuelva a estar activo.

ipa-getkeytab

Re-enrolling a client

El host debe tener una entrada en IdM.

Cuando se ha perdido el host original pero se ha instalado un host con el mismo nombre de host.

ipa-client-install --keytab o ipa-client-install --force-join

Un-enrolling a client

El host debe tener una entrada en IdM.

Si desea eliminar el host del ámbito de IdM de forma permanente.

ipa-client-install --uninstall

Tabla 27.4. Operaciones de acogida parte 2

Acción¿En qué máquina puede el administrador ejecutar los comandos?¿Qué ocurre cuando se realiza la acción? ¿Cuáles son las consecuencias para el funcionamiento del host en IdM? ¿Qué limitaciones se introducen/suprimen?

Enrolling a client

En el caso de una inscripción en dos pasos: ipa host-add puede ejecutarse en cualquier cliente IdM; el segundo paso de ipa-client-install debe ejecutarse en el propio cliente

Por defecto, esto configura SSSD para conectarse a un servidor IdM para la autenticación y autorización. Opcionalmente se puede configurar el Pluggable Authentication Module (PAM) y el Name Switching Service (NSS) para trabajar con un servidor IdM sobre Kerberos y LDAP.

Disabling a client

Cualquier máquina en IdM, incluso el propio host

La clave Kerberos y el certificado SSL del host se invalidan, y todos los servicios que se ejecutan en el host se desactivan.

Enabling a client

Cualquier máquina en IdM. Si se ejecuta en el host deshabilitado, es necesario suministrar las credenciales LDAP.

La clave Kerberos del host y el certificado SSL vuelven a ser válidos, y todos los servicios IdM que se ejecutan en el host se vuelven a habilitar.

Re-enrolling a client

El host que se va a reinscribir. Es necesario suministrar las credenciales LDAP.

Se genera una nueva clave Kerberos para el host, sustituyendo la anterior.

Un-enrolling a client

El anfitrión que se va a dar de baja.

El comando desconfigura IdM e intenta devolver la máquina a su estado anterior. Parte de este proceso consiste en desinscribir la máquina del servidor IdM. La desinscripción consiste en desactivar la clave de la máquina en el servidor IdM. La entidad de seguridad de la máquina en /etc/krb5.keytab (host/<fqdn>@REALM) se utiliza para autenticarse en el servidor IdM para desinscribirse. Si esta entidad de seguridad no existe, la desinscripción fallará y el administrador tendrá que desactivar la entidad de seguridad del host (ipa host-disable <fqdn>).