Chapitre 16. Réinscription d'un client IdM
16.1. Réinscription du client à l'IdM
Cette section décrit comment réinscrire un client de gestion d'identité (IdM).
Si une machine cliente a été détruite et a perdu la connexion avec les serveurs IdM, par exemple en raison d'une défaillance matérielle du client, et que vous disposez toujours de son keytab, vous pouvez réinscrire le client. Dans ce scénario, vous souhaitez que le client soit réintégré dans l'environnement IdM avec le même nom d'hôte.
Pendant le réenrôlement, le client génère une nouvelle clé Kerberos et des clés SSH, mais l'identité du client dans la base de données LDAP reste inchangée. Après le réenrôlement, l'hôte a ses clés et d'autres informations dans le même objet LDAP avec le même FQDN que précédemment, avant la perte de connexion de la machine avec les serveurs IdM.
Vous ne pouvez réinscrire que les clients dont l'entrée de domaine est encore active. Si vous avez désinstallé un client (à l'aide de ipa-client-install --uninstall) ou désactivé son entrée d'hôte (à l'aide de ipa host-disable), vous ne pouvez pas le réinscrire.
Vous ne pouvez pas réinscrire un client après l'avoir renommé. En effet, dans IdM, l'attribut clé de l'entrée du client dans LDAP est le nom d'hôte du client, son FQDN. Contrairement au réenrôlement d'un client, au cours duquel l'objet LDAP du client reste inchangé, le résultat du renommage d'un client est que le client a ses clés et d'autres informations dans un objet LDAP différent avec un nouveau FQDN. La seule façon de renommer un client est donc de désinstaller l'hôte de l'IdM, de changer son nom d'hôte et de l'installer en tant que client IdM avec un nouveau nom. Pour plus de détails sur la manière de renommer un client, voir Renommer les systèmes clients IdM.
Que se passe-t-il lors de la réinscription d'un client ?
Lors de la réinscription, l'IdM :
- Révoque le certificat d'origine de l'hôte
- Création de nouvelles clés SSH
- Génère un nouveau keytab
