41.9. Identity Management クライアントの再登録
本セクションでは、Identity Management クライアントを再登録するさまざまな方法を説明します。
41.9.1. IdM におけるクライアントの再登録
再登録の間、クライアントは新しい鍵 (Kerberos および SSH ) を生成しますが、LDAP データベースのクライアントのアイデンティティーは変更されません。再登録後、ホストは、IdM サーバーとの接続を失う前と同じ FQDN
を持つ同じ LDAP オブジェクトに、キーとその他の情報を保持します。
ドメインエントリーがアクティブなクライアントのみを再登録できます。クライアントをアンインストール (ipa-client-install --uninstall
を使用) した場合や、ホストエントリーを無効 (ipa host-disable
を使用) にした場合は再登録できません。
クライアントの名前を変更すると、再登録することができません。これは、Identity Management では LDAP にあるクライアントのエントリーのキー属性はクライアントのホスト名 FQDN
であるためです。クライアントの再登録中はクライアントの LDAP オブジェクトは変更されませんが、クライアントの名前を変更すると、クライアントの鍵とその他の情報は新しい FQDN
を持つ異なる LDAP オブジェクトに格納されます。そのため、IdM からホストをアンインストールし、ホストのホスト名を変更して、新しい名前で IdM クライアントとしてインストールするのが、クライアントの名前を変更する唯一の方法です。クライアント名を変更する方法は、Identity Management クライアントシステムの名前の変更 を参照してください。
クライアント再登録中に行われること
Identity Management は再登録中に以下を行います。
- 元のホスト証明書を破棄する。
- 新規の SSH 鍵を作成する。
- 新規のキータブを生成する。
41.9.2. ユーザー認証情報でクライアントの再登録: 対話的な再登録
許可されたユーザーの認証情報を使用して、Identity Management クライアントを対話的に再登録するには、次の手順に従います。
- 同じホスト名のクライアントマシンを再作成します。
クライアントマシンで
ipa-client-install --force-join
コマンドを実行します。# ipa-client-install --force-join
スクリプトにより、アイデンティティーがクライアントの再登録に使用されるユーザーの入力が求められます。たとえば、登録管理者 (Enrollment Administrator) ロールを持つ
hostadmin
ユーザーなどが該当します。User authorized to enroll computers:
hostadmin
Password forhostadmin
@EXAMPLE.COM
:
関連情報
- Installing Identity Management の Installing a client by using user credentials: Interactive installation を参照してください。
41.9.3. クライアントキータブを使用したクライアントの再登録: 非対話的な再登録
以前にデプロイしたクライアントシステムの krb5.keytab
キータブファイルを使用して、非対話形式で Identity Management (IdM) クライアントを再登録できます。たとえば、クライアントのキータブを使用した再登録は自動インストールに適しています。
前提条件
- 別のシステムで、以前にデプロイしたクライアントのキータブをバックアップした。
手順
- 同じホスト名のクライアントマシンを再作成します。
バックアップの場所から、再作成したクライアントマシンの
/tmp/
ディレクトリーなどにキータブファイルをコピーします。重要キータブを
/etc/krb5.keytab
ファイルに配置しないでください。ipa-client-install
インストールスクリプトの実行中に、この場所から古いキーが削除されるためです。ipa-client-install
ユーティリティーを使用してクライアントを再登録します。--keytab
オプションを使用してキータブの場所を指定します。# ipa-client-install --keytab /tmp/krb5.keytab
注記--keytab
オプションで指定したキータブは、再登録を開始するための認証時にのみ使用されます。再登録中、IdM はクライアントに対して新しいキータブを生成します。
41.9.4. インストール後の Identity Management クライアントのテスト
コマンドラインインターフェイスにより、ipa-client-install
が正常に実行されたことが通知されますが、独自のテストを行うこともできます。
Identity Management クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin
ユーザーを確認するには、次のコマンドを実行します。
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
認証が適切に機能することをテストするには、別の IdM ユーザーで su -
を実行します。
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$