39.3. Privilèges de l'utilisateur requis pour l'inscription de l'hôte
L'opération d'enrôlement des hôtes nécessite une authentification afin d'éviter qu'un utilisateur non privilégié n'ajoute des machines indésirables au domaine IdM. Les privilèges requis dépendent de plusieurs facteurs, par exemple :
-
Si une entrée d'hôte est créée séparément de l'exécution de
ipa-client-install
- Si un mot de passe à usage unique (OTP) est utilisé pour l'inscription
Privilèges de l'utilisateur pour la création manuelle facultative d'une entrée d'hôte dans IdM LDAP
Le privilège d'utilisateur requis pour créer une entrée d'hôte dans IdM LDAP à l'aide de la commande CLI ipa host-add
ou de l'interface Web IdM est Host Administrators
. Le privilège Host Administrators
peut être obtenu par le biais du rôle IT Specialist
.
Privilèges de l'utilisateur pour l'intégration du client dans le domaine IdM
Les hôtes sont configurés en tant que clients IdM lors de l'exécution de la commande ipa-client-install
. Le niveau d'habilitation requis pour l'exécution de la commande ipa-client-install
dépend du scénario d'inscription dans lequel vous vous trouvez :
-
L'entrée de l'hôte dans IdM LDAP n'existe pas. Pour ce scénario, vous avez besoin des informations d'identification d'un administrateur complet ou du rôle
Host Administrators
. Un administrateur complet est membre du groupeadmins
. Le rôleHost Administrators
permet d'ajouter des hôtes et d'enrôler des hôtes. Pour plus d'informations sur ce scénario, voir Installation d'un client à l'aide des informations d'identification de l'utilisateur : installation interactive. -
L'entrée de l'hôte dans IdM LDAP existe. Pour ce scénario, vous avez besoin des informations d'identification d'un administrateur limité pour exécuter
ipa-client-install
avec succès. Dans ce cas, l'administrateur limité a le rôleEnrollment Administrator
, qui lui confère le privilègeHost Enrollment
. Pour plus d'informations, voir Installation d'un client à l'aide des informations d'identification de l'utilisateur : installation interactive. -
L'entrée de l'hôte dans IdM LDAP existe et un OTP a été généré pour l'hôte par un administrateur complet ou limité. Dans ce cas, vous pouvez installer un client IdM en tant qu'utilisateur ordinaire si vous exécutez la commande
ipa-client-install
avec l'option--password
, en fournissant l'OTP correct. Pour plus de détails, voir Installation d'un client à l'aide d'un mot de passe à usage unique : installation interactive.
Après l'inscription, les hôtes IdM authentifient chaque nouvelle session pour pouvoir accéder aux ressources IdM. L'authentification de la machine est nécessaire pour que le serveur IdM fasse confiance à la machine et accepte les connexions IdM du logiciel client installé sur cette machine. Après avoir authentifié le client, le serveur IdM peut répondre à ses demandes.