Red Hat Training

A Red Hat training course is available for RHEL 8

42.5. 主机操作

以下部分概述了与主机注册和启用相关的最常见的操作,先决条件、上下文以及执行这些操作的结果。

表 42.3. 主机操作第 1 部分

操作操作的先决条件是什么?什么时候运行命令有意义?系统管理员是如何执行操作的?他运行什么命令?

注册客户端

请参阅 安装身份管理 中的 为身份管理客户端安装准备系统

当您希望主机加入 IdM 域时。

将机器注册为 IdM 域中的客户端是一个两部分的过程。运行 ipa host-add 命令时,会为客户端创建一个主机条目(并存储在 389 目录服务器实例中),然后创建一个 keytab 来调配客户端。这两个组件都由 ipa-client-install 命令自动执行。也可以单独执行这些步骤;这允许管理员在实际配置客户端之前准备机器和 IdM。这允许更灵活的设置场景,包括批量部署。

禁用客户端

主机必须在 IdM 中有一个条目。主机需要有一个活动的 keytab。

可能出于维护目的,您想从 IdM 域临时删除主机。

ipa host-disable host_name

启用客户端

主机必须在 IdM 中有一个条目。

当您希望临时禁用的主机再次激活时。

ipa-getkeytab

重新注册客户端

主机必须在 IdM 中有一个条目。

当原始主机丢失,但您已安装了具有相同主机名的主机时。

ipa-client-install --keytabipa-client-install --force-join

取消注册客户端

主机必须在 IdM 中有一个条目。

当您要从 IdM 域永久删除主机时:

ipa-client-install --uninstall

表 42.4. 主机操作第 2 部分

操作管理员可以在哪一台机器上运行命令?执行该操作时会发生什么情况?主机在 IdM 中正常工作的结果是什么?引入了/删除了哪些限制?

注册客户端

对于两步注册: ipa host-add 可以运行在任何一台 IdM 客户端上;ipa-client-install 的第二步必须运行在客户端本身上

默认情况下,这会将 SSSD 配置为连接到 IdM 服务器来进行身份验证和授权。另外,也可以将可插拔验证模块(PAM)和名称交换服务(NSS)配置为通过 Kerberos 和 LDAP 与 IdM 服务器一起工作。

禁用客户端

IdM 中的任何机器,即使主机本身

主机的 Kerberos 密钥和 SSL 证书无效,运行在该主机上的所有服务都被禁用。

启用客户端

IdM 中的任何机器。如果在禁用的主机上运行,则需要提供 LDAP 凭据。

主机的 Kerberos 密钥和 SSL 证书将再次有效,所有运行在主机上的 IdM 服务都被重新启用。

重新注册客户端

重新注册的主机。需要提供 LDAP 凭据。

为主机生成一个新的 Kerberos 密钥,替换之前的密钥。

取消注册客户端

要取消注册的主机。

命令取消配置 IdM,并尝试将机器返回到之前的状态。此过程的一部分是从 IdM 服务器取消注册主机。取消注册包括在 IdM 服务器上禁用主密钥。/etc/krb5.keytab(host/<fqdn>@REALM)中的机器主体用于向 IdM 服务器进行身份验证以取消注册。如果这个主体不存在,则取消注册会失败,管理员将需要禁用主机主体(ipa host-disable <fqdn>)。