Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

38.9. Réinscription d'un client de la gestion de l'identité

download PDF

Cette section décrit les différentes façons de réinscrire un client de gestion d'identité.

38.9.1. Réinscription du client à l'IdM

Cette section décrit comment réinscrire un client de gestion d'identité (IdM).

Si une machine cliente a été détruite et a perdu la connexion avec les serveurs IdM, par exemple en raison d'une défaillance matérielle du client, et que vous disposez toujours de son keytab, vous pouvez réinscrire le client. Dans ce scénario, vous souhaitez que le client soit réintégré dans l'environnement IdM avec le même nom d'hôte.

Pendant le réenrôlement, le client génère une nouvelle clé Kerberos et des clés SSH, mais l'identité du client dans la base de données LDAP reste inchangée. Après le réenrôlement, l'hôte a ses clés et d'autres informations dans le même objet LDAP avec le même FQDN que précédemment, avant la perte de connexion de la machine avec les serveurs IdM.

Important

Vous ne pouvez réinscrire que les clients dont l'entrée de domaine est encore active. Si vous avez désinstallé un client (à l'aide de ipa-client-install --uninstall) ou désactivé son entrée d'hôte (à l'aide de ipa host-disable), vous ne pouvez pas le réinscrire.

Vous ne pouvez pas réinscrire un client après l'avoir renommé. En effet, dans la gestion de l'identité, l'attribut clé de l'entrée du client dans LDAP est le nom d'hôte du client, son FQDN. Contrairement à la réinscription d'un client, au cours de laquelle l'objet LDAP du client reste inchangé, le résultat du renommage d'un client est que ses clés et autres informations se trouvent dans un objet LDAP différent avec un nouveau FQDN. La seule façon de renommer un client est donc de désinstaller l'hôte de l'IdM, de changer son nom d'hôte et de l'installer en tant que client IdM avec un nouveau nom. Pour plus de détails sur la manière de renommer un client, voir Renommer les systèmes clients de gestion d'identité.

Que se passe-t-il lors de la réinscription d'un client ?

Lors de la réinscription, Identity Management :

  • Révoque le certificat d'origine de l'hôte
  • Création de nouvelles clés SSH
  • Génère un nouveau keytab

38.9.2. Réinscription d'un client à l'aide des informations d'identification de l'utilisateur : Réinscription interactive

Cette procédure décrit le réenrôlement d'un client de gestion d'identité de manière interactive en utilisant les informations d'identification d'un utilisateur autorisé.

  1. Recréez la machine cliente avec le même nom d'hôte.

  2. Exécutez la commande ipa-client-install --force-join sur la machine cliente : 

    # ipa-client-install --force-join

  3. Le script demande un utilisateur dont l'identité sera utilisée pour réinscrire le client. Il peut s'agir, par exemple, d'un utilisateur hostadmin ayant le rôle d'administrateur d'inscription : 

    User authorized to enroll computers: hostadmin
Password for hostadmin@EXAMPLE.COM:

Ressources supplémentaires

38.9.3. Réinscription d'un client à l'aide de la base de données du client : Réinscription non interactive

Conditions préalables

  • Sauvegardez le fichier keytab original du client, par exemple dans le répertoire /tmp ou /root.

Procédure

Cette procédure décrit le réenrôlement d'un client Identity Management (IdM) de manière non interactive en utilisant le keytab du système client. Par exemple, le réenregistrement à l'aide du keytab du client est approprié pour une installation automatisée.

  1. Recréez la machine cliente avec le même nom d'hôte.
  2. Copiez le fichier keytab de l'emplacement de sauvegarde dans le répertoire /etc/ sur l'ordinateur client recréé.

  3. Utilisez l'utilitaire ipa-client-install pour réinscrire le client et spécifiez l'emplacement du fichier keytab à l'aide de l'option --keytab: 

    # ipa-client-install --keytab /etc/krb5.keytab
    Note

    Le keytab spécifié dans l'option --keytab n'est utilisé que lors de l'authentification pour initier l'inscription. Lors de la réinscription, l'IdM génère un nouveau keytab pour le client.

38.9.4. Test d'un client de gestion d'identité après installation

L'interface de ligne de commande vous informe que l'adresse ipa-client-install a été utilisée avec succès, mais vous pouvez également effectuer votre propre test.

Pour vérifier que le client de gestion des identités peut obtenir des informations sur les utilisateurs définis sur le serveur, vérifiez que vous pouvez résoudre un utilisateur défini sur le serveur. Par exemple, pour vérifier l'utilisateur par défaut admin: 

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

Pour tester que l'authentification fonctionne correctement, su - en tant qu'autre utilisateur IdM : 

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.