Red Hat Training

A Red Hat training course is available for RHEL 8

42.3. 主机注册所需的用户权限

主机注册操作需要进行身份验证,以防止非特权用户将不需要的计算机添加到 IdM 域。所需的权限取决于几个因素,例如:

  • 创建主机条目与运行 ipa-client-install 是分开的
  • 使用一次性密码 (OTP) 进行注册

在 IdM LDAP 中手动创建主机条目的用户权限

使用 ipa host-add CLI 命令或 IdM Web UI 在 IdM LDAP 中创建主机条目所需的用户权限是 Host AdministratorsHost Administrators 特权可通过 IT Specialist 角色获得。

将客户端加入 IdM 域的用户特权

在执行 ipa-client-install 命令期间,主机被配置为 IdM 客户端。执行 ipa-client-install 命令所需的凭证级别取决于您发现的以下注册场景:

  • IdM LDAP 中的主机条目不存在。在这种情况下,您需要完整的管理员凭据或 Host Administrators 角色。完整的管理员是 admins 组的成员。Host Administrators 角色提供添加主机和注册主机的特权。有关此场景的详情,请参阅 使用用户凭证安装客户端:交互式安装
  • IdM LDAP 中的主机条目存在。在这种情况下,您需要有限的管理员凭证才能成功执行 ipa-client-install。本例中的有限管理员具有 Enrollment Administrator 角色,该角色提供 Host Enrollment。详情请参阅 使用用户凭证安装客户端:交互式安装
  • IdM LDAP 中的主机条目存在,并且由完整或有限的管理员为主机生成了一个 OTP。在这种情况下,如果您使用 --password 选项运行 ipa-client-install 命令,并提供正确的 OTP,则可以普通用户安装 IdM 客户端。详情请参阅 使用一次性密码安装客户端:交互式安装

注册后,IdM 主机验证每个新会话,以便能访问 IdM 资源。IdM 服务器需要机器身份验证才能信任机器并接受来自该机器上安装的客户端软件的 IdM 连接。验证客户端后,IdM 服务器可以响应其请求。