Red Hat Training

A Red Hat training course is available for RHEL 8

36.2. 主机注册

本节论述了将主机注册为 IdM 客户端以及注册期间和之后发生的情况。部分比较 IdM 主机和 IdM 用户的注册。部分还概述了可供主机使用的其他身份验证类型。

注册主机包括:

  • 在 IdM LDAP 中创建主机条目:可以在 IdM CLI 中使用 ipa host-add 命令,或者等同的 IdM Web UI 操作
  • 在主机上配置 IdM 服务,如系统安全服务守护进程(SSSD)、Kerberos 和 certmonger,并将主机加入 IdM 域。

这两个操作可以单独或一起执行。

如果单独执行,它们允许在具有不同特权级别的两个用户之间划分这两个任务。这对批量部署非常有用。

ipa-client-install 命令可以一起执行两个操作。如果该条目尚不存在,该命令会在 IdM LDAP 中创建主机条目,并为主机配置 Kerberos 和 SSSD 服务。命令将主机引入 IdM 域,并允许它识别它将连接的 IdM 服务器。如果主机属于 IdM 管理的 DNS 区域,ipa -client-install 也为主机添加 DNS 记录。命令必须在客户端上运行。

36.2.1. 主机注册所需的用户权限

主机注册操作需要进行身份验证,以防止非特权用户将不需要的计算机添加到 IdM 域。所需的权限取决于几个因素,例如:

  • 如果创建主机条目与运行 ipa-client-install分开
  • 如果使用一次性密码(OTP)进行注册
在 IdM LDAP 中手动创建主机条目的用户权限

使用 ipa host-add CLI 命令或 IdM Web UI 在 IdM LDAP 中创建主机条目所需的用户权限是 Host Administrators主机管理员特权 可通过 IT 专家 角色获得。

将客户端加入 IdM 域的用户特权

在执行 ipa-client-install 命令期间,主机被配置为 IdM 客户端。执行 ipa-client-install 命令所需的凭证级别取决于您发现的以下注册场景:

注册后,IdM 主机验证每个新会话,以便能访问 IdM 资源。IdM 服务器需要机器身份验证才能信任机器并接受来自该机器上安装的客户端软件的 IdM 连接。验证客户端后,IdM 服务器可以响应其请求。