40.9. Identity Management 클라이언트 다시 등록

이 섹션에서는 ID 관리 클라이언트를 다시 등록할 수 있는 다양한 방법에 대해 설명합니다.

40.9.1. IdM의 클라이언트 re-enrollment

재등록 중에 클라이언트는 새로운 Kerberos 키와 SSH 키를 생성하지만 LDAP 데이터베이스의 클라이언트 ID는 변경되지 않습니다. 재부팅 후 시스템은 IdM 서버와의 연결이 손실되기 전에 이전과 동일한 FQDN 을 사용하는 것과 동일한 LDAP 오브젝트에 키 및 기타 정보가 있습니다.

중요

도메인 항목이 아직 활성화된 클라이언트만 다시 등록할 수 있습니다. 클라이언트 설치 제거( ipa-client-install --uninstall사용) 또는 호스트 항목을 비활성화한 경우( ipa host-disable사용) 다시 설정할 수 없습니다.

이름을 지정한 후에는 클라이언트를 다시 등록할 수 없습니다. 이는 ID 관리에서 LDAP의 클라이언트 항목의 키 속성이 클라이언트의 호스트 이름, FQDN 이기 때문입니다. 클라이언트의 LDAP 오브젝트를 다시 설정하는 것과는 달리 클라이언트의 이름 변경 결과는 클라이언트에 새 FQDN 을 사용하여 다른 LDAP 오브젝트에 키 및 기타 정보가 있다는 것입니다. 따라서 클라이언트 이름을 바꾸는 유일한 방법은 IdM에서 호스트를 제거하고 호스트의 호스트 이름을 변경한 후 새 이름으로 IdM 클라이언트로 설치하는 것입니다. 클라이언트의 이름을 바꾸는 방법에 대한 자세한 내용은 Identity Management 클라이언트 시스템 복원을 참조하십시오.

클라이언트 재등록 중 어떤 일이 발생합니까?

Identity Management를 다시 설정하는 동안 다음을 수행합니다.

  • 원래 호스트 인증서 취소
  • 새 SSH 키 생성
  • 새 키탭 생성

40.9.2. 사용자 인증 정보를 사용하여 클라이언트 등록: 대화형 재등록

권한 있는 사용자의 자격 증명을 사용하여 ID 관리 클라이언트를 대화식으로 다시 등록하려면 다음 절차를 따르십시오.

  1. 호스트 이름이 동일한 클라이언트 시스템을 다시 생성합니다.

  2. 클라이언트 시스템에서 ipa-client-install --force-join 명령을 실행합니다. 

    # ipa-client-install --force-join

  3. 이 스크립트는 ID를 사용하여 클라이언트를 다시 설정하는 데 사용할 사용자를 묻는 메시지를 표시합니다. 예를 들어 Enrollment Administrator 역할이 있는 hostadmin 사용자일 수 있습니다. 

    User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:

추가 리소스

40.9.3. 클라이언트 키탭을 사용하여 클라이언트 인증: 비대화형 재등록

사전 요구 사항

  • /tmp 또는 /root 디렉토리와 같이 원래 클라이언트 키탭 파일을 백업합니다.

절차

클라이언트 시스템의 keytab을 사용하여 IdM(Identity Management) 클라이언트를 비대화형으로 다시 등록하려면 다음 절차를 따르십시오. 예를 들어 클라이언트 키 탭을 사용하여 다시 등록하면 자동화된 설치에 적합합니다.

  1. 호스트 이름이 동일한 클라이언트 시스템을 다시 생성합니다.
  2. 백업 위치의 키탭 파일을 다시 생성된 클라이언트 시스템의 /etc/ 디렉터리에 복사합니다.

  3. ipa-client-install 유틸리티를 사용하여 클라이언트를 다시 설정한 후 --keytab 옵션으로 keytab 위치를 지정합니다. 

    # ipa-client-install --keytab /etc/krb5.keytab
    참고

    --keytab 옵션에 지정된 keytab은 등록을 시작하기 위해 인증하는 경우에만 사용됩니다. 재등록 중에 IdM은 클라이언트에 대한 새 키탭을 생성합니다.

40.9.4. 설치 후 Identity Management 클라이언트 테스트

명령줄 인터페이스는 ipa-client-install에 성공했지만 자체 테스트를 수행할 수도 있음을 알려줍니다.

Identity Management 클라이언트에서 서버에 정의된 사용자에 대한 정보를 얻을 수 있는지 테스트하려면 서버에 정의된 사용자를 확인할 수 있는지 확인합니다. 예를 들어 기본 admin 사용자를 확인하려면 다음을 실행합니다. 

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

인증이 올바르게 작동하는지 테스트하려면 su - 다른 IdM 사용자로 다음을 수행합니다. 

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$