38.10. Renommer les systèmes clients de gestion de l'identité
Les sections suivantes décrivent comment modifier le nom d'hôte d'un système client de gestion des identités.
Renommer un client est une procédure manuelle. Ne l'effectuez que si la modification du nom d'hôte est absolument nécessaire.
Renommer un client de gestion d'identité implique :
- Préparation de l'hôte. Pour plus de détails, voir Préparation d'un client IdM pour son renommage.
- Désinstallation du client IdM de l'hôte. Pour plus de détails, voir Désinstallation d'un client Identity Management.
- Renommer l'hôte. Pour plus d'informations, voir Renommer le système hôte.
- Installer le client IdM sur l'hôte avec le nouveau nom. Pour plus de détails, voir Installation d'un client Identity Management à l'adresse Installing Identity Management.
- Configurer l'hôte après l'installation du client IdM. Pour plus d'informations, voir Réajout de services, re-génération de certificats et réajout de groupes d'hôtes.
38.10.1. Préparation d'un client IdM pour son renommage
Avant de désinstaller le client actuel, prenez note de certains paramètres du client. Vous appliquerez cette configuration après avoir réenrôlé la machine avec un nouveau nom d'hôte.
Identifier les services en cours d'exécution sur la machine :
Utilisez la commande
ipa service-find
et identifiez les services avec des certificats dans le résultat :$ ipa service-find old-client-name.example.com
-
En outre, chaque hôte a un host service par défaut qui n'apparaît pas dans la sortie
ipa service-find
. Le principal du service de l'hôte, également appelé host principal, est le suivanthost/old-client-name.example.com
.
Pour tous les mandants de service affichés par
ipa service-find old-client-name.example.com
détermine l'emplacement des keytabs correspondants sur le systèmeold-client-name.example.com
système :# find / -name "*.keytab"
Chaque service du système client possède un principal Kerberos sous la forme service_name/host_name@REALM, tel que
ldap/old-client-name.example.com@EXAMPLE.COM
.Identifier tous les groupes d'hôtes auxquels la machine appartient.
# ipa hostgroup-find old-client-name.example.com
38.10.2. Désinstallation d'un client de gestion d'identité
La désinstallation d'un client supprime ce dernier du domaine de gestion des identités, ainsi que toute la configuration spécifique de gestion des identités des services système, tels que System Security Services Daemon (SSSD). La configuration précédente du système client est ainsi rétablie.
Procédure
Exécutez la commande
ipa-client-install --uninstall
:[root@client]# ipa-client-install --uninstall
Supprimez manuellement du serveur les entrées DNS pour l'hôte du client :
[root@server]# ipa dnsrecord-del Record name: old-client-client Zone name: idm.example.com No option to delete specific record provided. Delete all? Yes/No (default No): yes ------------------------ Deleted record "old-client-name"
Pour chaque keytab identifié autre que
/etc/krb5.keytab
, supprimer les anciens mandants :[root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
Sur un serveur IdM, supprimez l'entrée de l'hôte. Cette opération supprime tous les services et révoque tous les certificats émis pour cet hôte :
[root@server ~]# ipa host-del client.example.com
38.10.3. Renommer le système hôte
Renommez la machine comme vous le souhaitez. Par exemple :
[root@client]# hostnamectl set-hostname new-client-name.example.com
Vous pouvez maintenant réinstaller le client de gestion des identités sur le domaine de gestion des identités avec le nouveau nom d'hôte.
38.10.4. Réajustement des services, re-génération des certificats et réajustement des groupes d'hôtes
Procédure
Sur le serveur de gestion des identités (IdM), ajouter un nouveau keytab pour chaque service identifié dans la préparation d'un client IdM pour son renommage.
[root@server ~]# ipa service-add service_name/new-client-name
Générer des certificats pour les services auxquels un certificat a été attribué dans le cadre de la préparation d'un client IdM à son renommage. Vous pouvez le faire :
- Utilisation des outils d'administration de l'IdM
-
Utilisation de l'utilitaire
certmonger
- Réajoutez le client aux groupes d'hôtes identifiés dans la section Préparation d'un client IdM pour son renommage.