38.9. Réinscription d'un client de la gestion de l'identité
Cette section décrit les différentes façons de réinscrire un client de gestion d'identité.
38.9.1. Réinscription du client à l'IdM
Cette section décrit comment réinscrire un client de gestion d'identité (IdM).
Si une machine cliente a été détruite et a perdu la connexion avec les serveurs IdM, par exemple en raison d'une défaillance matérielle du client, et que vous disposez toujours de son keytab, vous pouvez réinscrire le client. Dans ce scénario, vous souhaitez que le client soit réintégré dans l'environnement IdM avec le même nom d'hôte.
Pendant le réenrôlement, le client génère une nouvelle clé Kerberos et des clés SSH, mais l'identité du client dans la base de données LDAP reste inchangée. Après le réenrôlement, l'hôte a ses clés et d'autres informations dans le même objet LDAP avec le même FQDN
que précédemment, avant la perte de connexion de la machine avec les serveurs IdM.
Vous ne pouvez réinscrire que les clients dont l'entrée de domaine est encore active. Si vous avez désinstallé un client (à l'aide de ipa-client-install --uninstall
) ou désactivé son entrée d'hôte (à l'aide de ipa host-disable
), vous ne pouvez pas le réinscrire.
Vous ne pouvez pas réinscrire un client après l'avoir renommé. En effet, dans la gestion de l'identité, l'attribut clé de l'entrée du client dans LDAP est le nom d'hôte du client, son FQDN
. Contrairement à la réinscription d'un client, au cours de laquelle l'objet LDAP du client reste inchangé, le résultat du renommage d'un client est que ses clés et autres informations se trouvent dans un objet LDAP différent avec un nouveau FQDN
. La seule façon de renommer un client est donc de désinstaller l'hôte de l'IdM, de changer son nom d'hôte et de l'installer en tant que client IdM avec un nouveau nom. Pour plus de détails sur la manière de renommer un client, voir Renommer les systèmes clients de gestion d'identité.
Que se passe-t-il lors de la réinscription d'un client ?
Lors de la réinscription, Identity Management :
- Révoque le certificat d'origine de l'hôte
- Création de nouvelles clés SSH
- Génère un nouveau keytab
38.9.2. Réinscription d'un client à l'aide des informations d'identification de l'utilisateur : Réinscription interactive
Cette procédure décrit le réenrôlement d'un client de gestion d'identité de manière interactive en utilisant les informations d'identification d'un utilisateur autorisé.
- Recréez la machine cliente avec le même nom d'hôte.
Exécutez la commande
ipa-client-install --force-join
sur la machine cliente :# ipa-client-install --force-join
Le script demande un utilisateur dont l'identité sera utilisée pour réinscrire le client. Il peut s'agir, par exemple, d'un utilisateur
hostadmin
ayant le rôle d'administrateur d'inscription :User authorized to enroll computers:
hostadmin
Password forhostadmin
@EXAMPLE.COM
:
Ressources supplémentaires
- Voir Installation d'un client à l'aide des informations d'identification de l'utilisateur : Installation interactive sur Installing Identity Management.
38.9.3. Réinscription d'un client à l'aide de la base de données du client : Réinscription non interactive
Conditions préalables
-
Sauvegardez le fichier keytab original du client, par exemple dans le répertoire
/tmp
ou/root
.
Procédure
Cette procédure décrit le réenrôlement d'un client Identity Management (IdM) de manière non interactive en utilisant le keytab du système client. Par exemple, le réenregistrement à l'aide du keytab du client est approprié pour une installation automatisée.
- Recréez la machine cliente avec le même nom d'hôte.
-
Copiez le fichier keytab de l'emplacement de sauvegarde dans le répertoire
/etc/
sur l'ordinateur client recréé. Utilisez l'utilitaire
ipa-client-install
pour réinscrire le client et spécifiez l'emplacement du fichier keytab à l'aide de l'option--keytab
:# ipa-client-install --keytab /etc/krb5.keytab
NoteLe keytab spécifié dans l'option
--keytab
n'est utilisé que lors de l'authentification pour initier l'inscription. Lors de la réinscription, l'IdM génère un nouveau keytab pour le client.
38.9.4. Test d'un client de gestion d'identité après installation
L'interface de ligne de commande vous informe que l'adresse ipa-client-install
a été utilisée avec succès, mais vous pouvez également effectuer votre propre test.
Pour vérifier que le client de gestion des identités peut obtenir des informations sur les utilisateurs définis sur le serveur, vérifiez que vous pouvez résoudre un utilisateur défini sur le serveur. Par exemple, pour vérifier l'utilisateur par défaut admin
:
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
Pour tester que l'authentification fonctionne correctement, su -
en tant qu'autre utilisateur IdM :
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$