40.9. 重新注册身份管理客户端
本节描述了重新注册身份管理客户端的不同方法。
40.9.1. IdM 中的客户端重新注册
在重新注册过程中,客户端会生成一个新的 Kerberos 密钥和 SSH 密钥,但 LDAP 数据库中客户端的身份保持不变。重新注册后,在机器与 IdM 服务器失去连接之前,主机像以前一样,其密钥和其他信息放在具有相同 FQDN 的同一 LDAP 对象中。
您只能重新注册域条目仍然活跃的客户端。如果您卸载了客户端(使用 ipa-client-install --uninstall)或者禁用了其主机条目(使用 ipa host-disable),则无法重新注册它。
您不能在重命名客户端后重新注册客户端。这是因为在身份管理中,LDAP 中客户端条目的 key 属性是客户端的主机名,即其 FQDN。与重新注册客户端(在此期间客户端的 LDAP 对象保持不变)不同,重命名客户端的结果是,客户端的密钥和其他信息位于具有新 FQDN 的不同的 LDAP 对象中。因此,重命名客户端的唯一方法是从 IdM 卸载主机,更改主机的主机名,并使用新名称将其安装为 IdM 客户端。有关如何重命名客户端的详情,请参考 重命名身份管理客户端系统。
客户端重新注册过程中会发生什么
重新注册期间的身份管理:
- 吊销原始主机证书
- 创建新 SSH 密钥
- 生成一个新的 keytab
40.9.2. 使用用户凭证重新注册客户端: 交互式重新注册
按照以下流程,使用授权用户的凭证以互动方式重新注册身份管理客户端。
- 重新创建具有相同主机名的客户端机器。
在客户端机器上运行
ipa-client-install --force-join命令:# ipa-client-install --force-join该脚本提示其身份用于重新注册客户端的用户。例如,这可能是具有注册管理员角色的
hostadmin用户:User authorized to enroll computers:
hostadminPassword forhostadmin@EXAMPLE.COM:
其他资源
- 请参阅 安装身份管理 中的 使用用户凭证安装客户端:交互式安装。
40.9.3. 使用 client keytab: Non-interactive reenrollment 重新注册客户端
先决条件
-
备份原始客户端 keytab 文件,例如在
/tmp或/root目录中。
步骤
按照以下流程,使用客户端系统的 keytab 以非交互方式重新注册身份管理(IdM)客户端。例如,使用客户端 keytab 重新注册适用于自动安装。
- 重新创建具有相同主机名的客户端机器。
-
将 keytab 文件从备份位置复制到重新创建的客户端机器上的
/etc/目录。 使用
ipa-client-install工具重新注册客户端,并使用--keytab选项指定 keytab 的位置:# ipa-client-install --keytab /etc/krb5.keytab注意--keytab选项中指定的 keytab只在进行身份验证以启动注册时才使用。在重新注册过程中,IdM 为客户端生成一个新的 keytab。
40.9.4. 安装后测试身份管理客户端
命令行界面告知您 ipa-client-install 已成功,但您也可以自行进行测试。
要测试身份管理客户端是否可以获取服务器上定义的用户的信息,请检查您是否能够解析服务器上定义的用户。例如,检查默认的 admin 用户:
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
要测试身份验证是否正常工作,请su - 为另一个 IdM 用户:
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$