38.10. Identity Management クライアントシステムの名前の変更

ここでは、Identity Management クライアントシステムのホスト名を変更する方法を説明します。

警告

クライアントの名前は手動で変更します。ホスト名の変更が絶対に必要である場合のみ実行してください。

Identity Management クライアントの名前を変更するには、以下を行う必要があります。

  1. ホストを準備します。詳細は、名前を変更するための IdM クライアントの準備 を参照してください。
  2. ホストから IdM クライアントをアンインストールします。詳細は、Identity Management クライアントのアンインストール を参照してください。
  3. ホストの名前を変更します。詳細は、ホストシステムの名前変更 を参照してください。
  4. 新しい名前でホストに IdM クライアントをインストールします。詳細は、Identity Management のインストールIdentity Management クライアントのインストール を参照してください。
  5. IdM クライアントのインストール後にホストを設定します。詳しくはサービスの再追加、証明書の再生成、およびホストグループの再追加 を参照してください。

38.10.1. 名前を変更するための IdM クライアントの準備

現在のクライアントをアンインストールする前に、クライアントの設定を書き留めます。新しいホスト名のマシンを再登録した後にこの設定を適用します

  • マシンで実行しているサービスを特定します。

    • ipa service-find コマンドを使用して、証明書のあるサービスを特定して出力します。 

      $ ipa service-find old-client-name.example.com
    • さらに、各ホストには ipa service-find の出力に表示されないデフォルトの host service があります。ホストサービスのサービスプリンシパルは ホストプリンシパル とも呼ばれ、host/old-client-name.example.com になります。

  • ipa service-find old-client-name.example.com により表示されるすべてのサービスプリンシパルは、old-client-name.example.com 上の対応するキータブの場所を決定します。 

    # find / -name "*.keytab"

    クライアントシステムの各サービスには、ldap/old-client-name.example.com@EXAMPLE.COM のように service_name/host_name@REALM の形式を取る Kerberos プリンシパルがあります。

  • マシンが所属するすべてのホストグループを特定します。 

    # ipa hostgroup-find old-client-name.example.com

38.10.2. Identity Management クライアントのアンインストール

クライアントをアンインストールすると、クライアントは Identity Management ドメインから削除され、SSSD (System Security Services Daemon) などのシステムサービスの Identity Management 設定もすべて削除されます。これにより、クライアントシステムの以前の設定が復元します。

手順

  1. ipa-client-install --uninstall コマンドを実行します。 

    [root@client]# ipa-client-install --uninstall

  2. クライアントホストの DNS エントリーを、手動でサーバーから削除します。 

    [root@server]# ipa dnsrecord-del
Record name: old-client-client
Zone name: idm.example.com
No option to delete specific record provided.
Delete all? Yes/No (default No): yes
------------------------
Deleted record "old-client-name"

  3. /etc/krb5.keytab 以外のキータブについては、古いプリンシパルを削除します。 

    [root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM

  4. IdM サーバーで、ホストエントリーを削除します。これにより、すべてのサービスが削除され、そのホストに発行されたすべての証明書が無効になります。 

    [root@server ~]# ipa host-del client.example.com

38.10.3. ホストシステムの名前変更

必要に応じてマシンの名前を変更します。以下に例を示します。 

[root@client]# hostnamectl set-hostname new-client-name.example.com

これで、新しいホスト名で、Identity Management クライアントを Identity Management ドメインに再インストールできるようになります。

38.10.4. サービスの再追加、証明書の再生成、およびホストグループの再追加

手順

  1. Identity Management (IdM) サーバーで、名前を変更するための IdM クライアントの準備 に定義された各サービスに新しいキータブを追加します。 

    [root@server ~]# ipa service-add service_name/new-client-name

  2. 名前を変更するための IdM クライアントの準備 で割り当てた証明書のあるサービスに対して証明書を生成します。これには、以下を行います。

    • IdM 管理ツールの使用
    • certmonger ユーティリティーの使用
  3. 名前を変更するための IdM クライアントの準備 で特定されたホストグループにクライアントを再追加します。