Red Hat Training

A Red Hat training course is available for RHEL 8

35.3. 主机操作

本节列出了与主机注册和启用相关的最常见操作,并解释了执行这些操作的先决条件、上下文以及结果。

表 35.3. 主机操作第 1 部分

操作操作的先决条件是什么?何时运行 命令有意义?系统管理员如何执行该操作?他运行什么命令?

注册客户端

请参阅 Installing_Identity_Management中准备身份管理客户端安装的系统

当您希望主机加入 IdM 域时。

在 IdM 域中将计算机注册为客户端是一个包含两部分的进程。运行 ipa host-add 命令时,会为客户端创建一个主机条目(并存储在 389 目录服务器实例中),然后创建一个 keytab 来调配客户端。这两个组件都由 ipa-client-install 命令自动执行。也可以单独执行这些步骤;这允许管理员在实际配置客户端之前准备计算机和 IdM。这允许更灵活的设置场景,包括批量部署。

禁用客户端

主机必须在 IdM 中有一个条目。主机需要有一个活动的 keytab。

当您想从 IdM 域临时删除主机时,可能出于维护目的。

ipa host-disable host_name

启用客户端

主机必须在 IdM 中有一个条目。

当您希望临时禁用的主机再次激活时。

ipa-getkeytab

重新注册客户

主机必须在 IdM 中具有 en 条目。

当原始主机丢失时,但您已安装了具有相同主机名的主机。

ipa-client-install --keytabipa-client-install --force-join

取消注册客户

主机必须在 IdM 中有一个条目。

当您要从 IdM 域永久删除主机时:

ipa-client-install --uninstall

表 35.4. 主机操作第 2 部分

操作管理员可以在哪一台计算机上运行命令?执行该操作时会发生什么情况?主机在 IdM 中正常工作的后果是什么?引入了/删除哪些限制?

注册客户端

对于两步注册: ipa host-add 可以在任何 IdM 客户端上运行;必须在客户端本身上运行 ipa-client-install 的第二步

默认情况下,这会将 SSSD 配置为连接到 IdM 服务器以进行身份验证和授权。另外,也可以将可插拔验证模块(PAM)和名称交换服务(NSS)配置为通过 Kerberos 和 LDAP 使用 IdM 服务器。

禁用客户端

IdM 中的任何机器,即使主机本身

主机的 Kerberos 密钥和 SSL 证书无效,并且该主机上运行的所有服务都将被禁用。

启用客户端

IdM 中的任何机器。如果在禁用的主机上运行,则需要提供 LDAP 凭据。

主机的 Kerberos 密钥和 SSL 证书再次生效,主机上运行的所有 IdM 服务都将被重新启用。

重新注册客户

重新注册的主机。需要提供 LDAP 凭据。

为主机生成一个新的 Kerberos 密钥,替换上一个密钥。

取消注册客户

要取消注册的主机。

命令取消配置 IdM,并尝试将计算机返回到之前的状态。此过程的一部分是从 IdM 服务器取消注册主机。Unenrollment 包括禁用 IdM 服务器中的主要密钥。/etc/krb5.keytab( host/<fqdn>@REALM)中的机器主体用于对 IdM 服务器进行身份验证以取消滚动。如果这个主体不存在,则取消注册会失败,管理员将需要禁用主机主体(ipa host-disable <fqdn>)。