38.11. Désactivation et réactivation des entrées hôtes
Cette section décrit comment désactiver et réactiver les hôtes dans la gestion des identités (IdM).
38.11.1. Désactivation des hôtes
Suivez cette procédure pour désactiver une entrée d'hôte dans IdM.
Les services de domaine, les hôtes et les utilisateurs peuvent accéder à un hôte actif. Il peut arriver qu'il soit nécessaire de supprimer temporairement un hôte actif, pour des raisons de maintenance, par exemple. La suppression de l'hôte dans de telles situations n'est pas souhaitable car elle supprime l'entrée de l'hôte et toute la configuration associée de façon permanente. Choisissez plutôt l'option de désactivation de l'hôte.
La désactivation d'un hôte empêche les utilisateurs du domaine d'y accéder sans le supprimer définitivement du domaine.
Procédure
Désactiver un hôte à l'aide de la commande
host-disable
. La désactivation d'un hôte tue les keytabs actifs de l'hôte. Par exemple :$ kinit admin $ ipa host-disable client.example.com
La désactivation d'un hôte entraîne son indisponibilité pour tous les utilisateurs, hôtes et services IdM.
La désactivation d'une entrée d'hôte ne désactive pas seulement cet hôte. Elle désactive également tous les services configurés sur cet hôte.
38.11.2. Réactivation des hôtes
Cette section décrit comment réactiver un hôte IdM désactivé.
La désactivation d'un hôte a tué ses keytabs actifs, ce qui a supprimé l'hôte du domaine IdM sans toucher autrement à son entrée de configuration.
Procédure
Pour réactiver un hôte, utilisez la commande
ipa-getkeytab
, en ajoutant :-
l'option
-s
pour spécifier le serveur IdM auprès duquel le keytab doit être demandé -
l'option
-p
pour spécifier le nom du principal -
l'option
-k
pour spécifier le fichier dans lequel enregistrer le keytab.
-
l'option
Par exemple, pour demander un nouveau keytab hôte à server.example.com
pour client.example.com
, et stocker le keytab dans le fichier /etc/krb5.keytab
:
$ ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
Vous pouvez également utiliser les informations d'identification de l'administrateur en spécifiant -D "uid=admin,cn=users,cn=accounts,dc=example,dc=com"
. Il est important que les informations d'identification correspondent à un utilisateur autorisé à créer le fichier keytab pour l'hôte.
Si la commande ipa-getkeytab
est exécutée sur un client ou un serveur IdM actif, elle peut être exécutée sans aucun justificatif LDAP (-D
et -w
) si l'utilisateur dispose d'un TGT obtenu, par exemple, à l'aide de kinit admin
. Pour exécuter la commande directement sur l'hôte désactivé, il faut fournir des informations d'identification LDAP pour s'authentifier auprès du serveur IdM.