41.5. 호스트 작업

호스트 등록 및 활성화와 관련된 가장 일반적인 작업, 사전 요구 사항, 컨텍스트 및 이러한 작업 수행의 결과는 다음 섹션에 요약되어 있습니다.

표 41.3. 호스트 운영 부분 1

동작동작의 전제 조건은 무엇입니까?언제 명령을 실행하는 것이 적합합니까?시스템 관리자가 작업을 수행하는 방법은 무엇입니까? 실행 중인 명령은 무엇입니까?

클라이언트 등록

Identity Management 설치에서 Identity Management 설치 시스템 준비를 참조하십시오.

호스트가 IdM 영역에 참여하도록 하려면 다음을 수행합니다.

IdM 도메인에 있는 클라이언트로 시스템을 등록하는 것은 두 부분으로 구성된 프로세스입니다. ipa host-add 명령을 실행할 때 클라이언트(및 389 Directory Server 인스턴스에 저장)에 대한 호스트 항목이 생성되고, 클라이언트를 프로비저닝하기 위해 keytab이 생성됩니다. 두 부분 모두 ipa-client-install 명령을 통해 자동으로 수행됩니다. 또한 이러한 단계를 별도로 수행할 수 있습니다. 이를 통해 관리자는 실제로 클라이언트를 구성하기 전에 시스템과 IdM을 준비할 수 있습니다. 이를 통해 대규모 배포를 포함하여 보다 유연한 설정 시나리오를 사용할 수 있습니다.

클라이언트 비활성화

호스트에 IdM에 항목이 있어야 합니다. 호스트에는 활성 keytab이 있어야 합니다.

유지 관리를 위해 IdM 영역에서 호스트를 임시로 제거하려는 경우 다음을 수행할 수 있습니다.

ipa host-disable host_name

클라이언트 활성화

호스트에 IdM에 항목이 있어야 합니다.

일시적으로 비활성화된 호스트가 다시 활성화되도록 하려는 경우

ipa-getkeytab

클라이언트 다시 등록

호스트에 IdM에 en 항목이 있어야 합니다.

원래 호스트가 손실되었지만 동일한 호스트 이름을 가진 호스트를 설치했습니다.

ipa-client-install --keytab or ipa-client-install --force-join

고객 등록 취소

호스트에 IdM에 항목이 있어야 합니다.

IdM 영역에서 호스트를 영구적으로 제거하려는 경우.

ipa-client-install --uninstall

표 41.4. 호스트 운영 부분 2

동작관리자가 명령을 실행할 수 있는 시스템은 무엇입니까?작업이 수행되면 어떻게 됩니까? IdM에서 호스트가 작동하는 경우의 결과는 무엇입니까? 어떤 제한 사항이 도입/제거됩니까?

클라이언트 등록

2단계 등록의 경우: ipa host-add 를 모든 IdM 클라이언트에서 실행할 수 있습니다. ipa-client-install 의 두 번째 단계는 클라이언트 자체에서 실행해야 합니다.

기본적으로 인증 및 권한 부여를 위해 IdM 서버에 연결하도록 SSSD를 구성합니다. 선택적으로 Kerberos 및 LDAP를 통한 IdM 서버와 작동하도록 Pluggable Authentication Module(PAM) 및 Name Switching Service(NSS)를 구성할 수 있습니다.

클라이언트 비활성화

IdM의 모든 시스템, 호스트 자체도

호스트의 Kerberos 키 및 SSL 인증서가 무효화되고 호스트에서 실행 중인 모든 서비스가 비활성화됩니다.

클라이언트 활성화

IdM에 있는 모든 시스템. 비활성화된 호스트에서 실행되는 경우 LDAP 인증 정보를 제공해야 합니다.

호스트의 Kerberos 키와 SSL 인증서가 다시 유효하며 호스트에서 실행 중인 모든 IdM 서비스가 다시 활성화됩니다.

클라이언트 다시 등록

다시 등록할 호스트입니다. LDAP 인증 정보를 제공해야 합니다.

호스트에 대해 새 Kerberos 키가 생성되어 이전 키를 대체합니다.

고객 등록 취소

호스트가 등록되지 않음.

이 명령은 IdM을 구성 해제하고 시스템을 이전 상태로 되돌립니다. 이 프로세스의 일부는 IdM 서버에서 호스트를 해제하는 것입니다. Unenrollment는 IdM 서버에서 주 키를 비활성화하는 것으로 구성됩니다. /etc/krb5.keytab (호스트/<fqdn>@REALM)의 시스템 주체는 IdM 서버를 인증하는 데 사용됩니다. 이 주체가 존재하지 않으면 unenrollment가 실패하고 관리자가 호스트 주체(ipa host-disable <fqdn> )를 비활성화해야 합니다.