Red Hat Training

A Red Hat training course is available for RHEL 8

28.2. Inscrição de anfitriões

Esta seção descreve a inscrição de anfitriões como clientes da IdM e o que acontece durante e após a inscrição. A seção compara a matrícula de hospedeiros IdM e usuários IdM. A seção também descreve os tipos alternativos de autenticação disponíveis para os anfitriões.

A inscrição de um anfitrião consiste em:

  • Criação de uma entrada hospedeira no IdM LDAP: possivelmente usando o comandoipa host-add no IdM CLI, ou a operação equivalente do IdM Web UI.
  • Configurando os serviços IdM no host, por exemplo o System Security Services Daemon (SSSD), Kerberos, e certmonger, e unindo o host ao domínio IdM.

As duas ações podem ser realizadas separadamente ou em conjunto.

Se realizadas separadamente, elas permitem dividir as duas tarefas entre dois usuários com diferentes níveis de privilégio. Isto é útil para implantações em massa.

O comando ipa-client-install pode realizar as duas ações em conjunto. O comando cria uma entrada hospedeira no IdM LDAP se essa entrada ainda não existir, e configura tanto os serviços Kerberos como SSSD para o hospedeiro. O comando traz o host dentro do domínio IdM e permite que ele identifique o servidor IdM com o qual ele se conectará. Se o host pertence a uma zona DNS gerenciada pela IdM, ipa-client-install adiciona registros DNS para o host também. O comando deve ser executado no cliente.

28.2.1. Privilégios de usuário necessários para a inscrição no host

A operação de inscrição no host requer autenticação para evitar que um usuário sem privilégios acrescente máquinas indesejadas ao domínio IdM. Os privilégios requeridos dependem de vários fatores, por exemplo:

  • Se uma entrada de anfitrião for criada separadamente da execução ipa-client-install
  • Se uma senha única (OTP) for usada para a inscrição
Privilégios do usuário para, opcionalmente, criar manualmente uma entrada de host no IdM LDAP

O privilégio do usuário necessário para criar uma entrada no IdM LDAP usando o comando ipa host-add CLI ou o IdM Web UI é Host Administrators. O privilégio Host Administrators pode ser obtido através da função IT Specialist.

Privilégios do usuário para unir o cliente ao domínio IdM

Os anfitriões são configurados como clientes IdM durante a execução do comando ipa-client-install. O nível de credenciais necessárias para executar o comando ipa-client-install depende de qual dos seguintes cenários de cadastro você se encontra:

  • A entrada anfitriã no IdM LDAP não existe. Para este cenário, você precisa de uma credencial completa de administrador ou do papel Host Administrators. Um administrador pleno é um membro do grupo admins. A função Host Administrators fornece privilégios para adicionar anfitriões e cadastrar anfitriões. Para detalhes sobre este cenário, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada anfitriã no IdM LDAP existe. Para este cenário, você precisa de uma credencial limitada de administrador para executar com sucesso o ipa-client-install. O administrador limitado neste caso tem o papel de Enrollment Administrator, que fornece o privilégio de Host Enrollment. Para detalhes, consulte Instalação de um cliente usando credenciais de usuário: instalação interativa.
  • A entrada do hospedeiro no IdM LDAP existe, e um OTP foi gerado para o hospedeiro por um administrador completo ou limitado. Para este cenário, você pode instalar um cliente IdM como um usuário comum se executar o comando ipa-client-install com a opção --password, fornecendo o OTP correto. Para detalhes, consulte Instalação de um cliente usando uma senha única: Instalação interativa.

Após a inscrição, os anfitriões da IdM autenticam cada nova sessão para poder acessar os recursos da IdM. A autenticação da máquina é necessária para que o servidor IdM confie na máquina e aceite conexões IdM do software cliente instalado naquela máquina. Após autenticar o cliente, o servidor IdM pode responder a suas solicitações.