40.9. Identity Management 클라이언트 다시 등록
이 섹션에서는 ID 관리 클라이언트를 다시 등록할 수 있는 다양한 방법에 대해 설명합니다.
40.9.1. IdM의 클라이언트 등록
다시 등록하는 동안 클라이언트는 새 Kerberos 키와 SSH 키를 생성하지만 LDAP 데이터베이스의 클라이언트 ID는 변경되지 않습니다. 다시 등록한 후 호스트에 IdM 서버와의 연결이 손실되기 전에 이전과 동일한 FQDN
을 사용하는 동일한 LDAP 오브젝트에 키 및 기타 정보가 있습니다.
도메인 항목이 아직 활성 상태인 클라이언트만 다시 등록할 수 있습니다. 클라이언트를 설치 제거하거나(ipa -client-install --uninstall
사용) 호스트 항목(ipa host-disable
사용)을 비활성화한 경우 다시 등록할 수 없습니다.
이름을 변경한 후에는 클라이언트를 다시 등록할 수 없습니다. 이는 ID 관리에서 LDAP에서 클라이언트 항목의 키 특성이 클라이언트의 호스트 이름인 해당 FQDN
이기 때문입니다. 클라이언트의 LDAP 오브젝트가 변경되지 않은 상태로 남아 있는 클라이언트를 다시 등록하는 것과 달리, 클라이언트의 이름을 변경한 결과는 새로운 FQDN
을 사용하여 다른 LDAP 오브젝트에 키와 기타 정보가 있다는 것입니다. 따라서 클라이언트 이름을 바꾸는 유일한 방법은 IdM에서 호스트를 제거하고 호스트의 호스트 이름을 변경한 후 새 이름으로 IdM 클라이언트로 설치하는 것입니다. 클라이언트의 이름을 바꾸는 방법에 대한 자세한 내용은 Identity Management 클라이언트 시스템 복원을 참조하십시오.
클라이언트를 다시 등록하는 동안 발생하는 사항
다시 등록하는 동안 ID 관리:
- 원래 호스트 인증서 취소
- 새 SSH 키 생성
- 새 키탭 생성
40.9.2. 사용자 인증 정보를 사용하여 클라이언트 재등록: 대화형 등록
권한 있는 사용자의 자격 증명을 사용하여 ID 관리 클라이언트를 대화식으로 다시 등록하려면 다음 절차를 따르십시오.
- 동일한 호스트 이름으로 클라이언트 시스템을 다시 생성합니다.
클라이언트 시스템에서
ipa-client-install --force-join
명령을 실행합니다.# ipa-client-install --force-join
이 스크립트는 클라이언트를 다시 등록하는 데 ID를 사용하는 사용자를 묻습니다. 예를 들어 Enrollment Administrator 역할이 있는
hostadmin
사용자는 다음과 같습니다.User authorized to enroll computers:
hostadmin
Password forhostadmin
@EXAMPLE.COM
:
추가 리소스
- 사용자 인증 정보를 사용하여 클라이언트 설치를 참조하십시오. 대화식 설치 ID 관리 설치 중.
40.9.3. 클라이언트 키탭을 사용하여 클라이언트를 다시 등록합니다. 비대화형 재등록
사전 요구 사항
-
원래 클라이언트 키탭 파일을 백업합니다(예:
/tmp
또는/root
디렉토리).
절차
클라이언트 시스템의 keytab을 사용하여 IdM(Identity Management) 클라이언트를 비대화형으로 다시 등록하려면 다음 절차를 따르십시오. 예를 들어 클라이언트 keytab을 사용하여 다시 등록하는 것은 자동화된 설치에 적합합니다.
- 동일한 호스트 이름으로 클라이언트 시스템을 다시 생성합니다.
-
백업 위치의 keytab 파일을 다시 생성된 클라이언트 시스템의
/etc/
디렉토리로 복사합니다. ipa-client-install
유틸리티를 사용하여 클라이언트를 다시 등록하고--keytab 옵션으로 keytab
위치를 지정합니다.# ipa-client-install --keytab /etc/krb5.keytab
참고keytab 옵션에 지정된 key
tab
은 인증을 시작하여 등록을 시작할 때만 사용됩니다. 다시 등록하는 동안 IdM은 클라이언트에 대한 새 키탭을 생성합니다.
40.9.4. 설치 후 Identity Management 클라이언트 테스트
명령줄 인터페이스는 ipa-client-install
에 성공했지만 자체 테스트를 수행할 수도 있음을 알려줍니다.
ID 관리 클라이언트가 서버에 정의된 사용자에 대한 정보를 가져올 수 있는지 테스트하려면 서버에 정의된 사용자를 확인할 수 있는지 확인합니다. 예를 들어 기본 admin
사용자를 확인하려면 다음을 수행합니다.
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
인증이 올바르게 작동하는지 테스트하려면 su -
를 다른 IdM 사용자로 실행하십시오.
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$