10.6. マシンの名前変更および IdM クライアントオプションの再設定
Kerberos と SSL を正しく操作するには、システムのホスト名が重要になります。Kerberos および SSL のセキュリティーメカニズムはいずれもホスト名に依存し、指定されたホスト間で通信が行われるようにします。仮想マシンまたはクラスター化されたサービスを使用するインフラストラクチャーでは一般的に、システムのコピー、移動、名前変更により、名前が変更されたホストが含まれます。
Red Hat Enterprise Linux には、IdM ホストの名前を簡単に変更するシンプルな名前変更コマンドがありません。IdM ドメインのホストの名前を変更するには、IdM のエントリーの削除、クライアントソフトウェアのアンインストール、ホスト名の変更を行い、新しい名前を使用して再登録する必要があります。さらに、ホストの名前変更を行う上で、サービスプリンシパルを再生成する必要があります。
クライアントを再設定するには、以下を実行します。
- マシンで実行されているサービスを特定します。これらのファイルは、マシンの再登録時に作成し直す必要があります。
# ipa service-find server.example.com
各ホストには、サービス一覧に表示されないデフォルトのサービスがあります。このサービスは、「ホストサービス」と呼ばれます。ホストサービスのサービスプリンシパルは、host/<hostname>です (例:host/server.example.com)。このプリンシパルは ホストプリンシパル とも呼ばれます。 - マシンが所属するすべてのホストグループを特定します。
[root@client ~]# kinit admin [root@client ~]# ipa hostgroup-find server.example.com
- 証明書が関連付けられているサービスを特定します。ldapsearch コマンドを使用して、IdM LDAP データベースのエントリーを直接チェックすることでサービスの特定ができます。
[root@client ~]# ldapsearch -x -b "cn=accounts,dc=example,dc=com" "(&(objectclass=ipaservice)(userCertificate=*))" krbPrincipalName -D "cn=directory manager" -w secret -h ipaserver.example.com -p 389
- (ホストプリンシパルに加えて) サービスプリンシパルの場合は、
server.example.comにある対応のキータブの場所を判断します。サービスごとにキータブの場所が異なりますが、IdM にはこの情報は保存されません。クライアントシステム上の各サービスにはldap/server.example.com@EXAMPLE.COMなど、service_name/hostname@REALM の形式で Kerberos プリンシパルが含まれています。 - IdM ドメインからクライアントマシンの登録を解除します。
[root@client ~]# ipa-client-install --uninstall
/etc/krb5.keytab以外の各キータブについては、古いプリンシパルを削除します。[root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
- IdM サーバーで、IdM 管理者としてホストエントリーを削除します。これにより、すべてのサービスが削除され、そのホストに発行されたすべての証明書が無効になります。
[root@server ~]# kinit admin [root@server ~]# ipa host-del server.example.com
この時点で、ホストは IdM から完全に削除されました。 - マシンの名前を変更します。
- IdM でシステムを再登録します。
[root@client ~]# ipa-client-install
再登録することで、/etc/krb5.keytabに、新規ホスト名でホストプリンシパルが生成されます。 - IdM サーバーで、全サービスに対して新しいキータブを追加します。
[root@server ~]# ipa service-add serviceName/new-hostname
- サービスの証明書を生成するには、certmonger または IdM の管理ツールを使用します。
- 該当するホストグループにホストを再度追加します。
