Red Hat Training

A Red Hat training course is available for RHEL 8

42.11. 禁用和重新启用主机条目

本节介绍了如何在身份管理(IdM)中禁用和重新启用主机。

42.11.1. 禁用主机

完成这个流程来禁用 IdM 中的主机条目。

域服务、主机和用户可以访问活动的主机。某些情况下,出于维护原因需要临时删除活动的主机。在这种情况下,不需要删除主机,因为它会永久删除主机条目和所有关联的配置。相反,可选择禁用该主机的选项。

禁用主机可防止域用户访问它,而不必将其从域中永久删除。

流程

  • 使用 host-disable 命令禁用主机。禁用主机将终止主机当前活动的 keytab。例如:

    $ kinit admin
    $ ipa host-disable client.example.com

禁用主机后,主机将对所有 IdM 用户、主机和服务都不可用。

重要

禁用主机条目不仅会禁用该主机。它还会禁用该主机上每个配置的服务。

42.11.2. 重新启用主机

按照以下流程重新启用禁用的 IdM 主机。

禁用主机会终止其活动的 keytab,这会从 IdM 域中删除主机,而不影响其配置条目。

流程

  • 要重新启用主机,请使用 ipa-getkeytab 命令,添加:

    • -s 选项来指定要从哪个 IdM 服务器请求 keytab
    • -p 选项来指定主体名称
    • k 选项来指定保存 keytab 的文件。

例如,要为 client.example.comserver.example.com 请求新的主机 keytab,并将 keytab 存储在 /etc/krb5.keytab 文件中:

$  ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
注意

您还可以使用管理员的凭据,指定 -D "uid=admin,cn=users,cn=accounts,dc=example,dc=com"。重要的是,凭据对应于允许为主机创建 keytab 的用户。

如果 ipa-getkeytab 命令在活动的 IdM 客户端或服务器上运行,那么如果用户具有例如通过kinit admin 获取的 TGT,则可以在没有 LDAP 凭据(-D-w )的情况下运行该命令。若要在禁用的主机上直接运行命令,请提供 LDAP 凭据来向 IdM 服务器进行身份验证。