検索

41.9. Identity Management クライアントの再登録

download PDF

本セクションでは、Identity Management クライアントを再登録するさまざまな方法を説明します。

41.9.1. IdM におけるクライアントの再登録

再登録の間、クライアントは新しい鍵 (Kerberos および SSH ) を生成しますが、LDAP データベースのクライアントのアイデンティティーは変更されません。再登録後、ホストは、IdM サーバーとの接続を失う前と同じ FQDN を持つ同じ LDAP オブジェクトに、キーとその他の情報を保持します。

重要

ドメインエントリーがアクティブなクライアントのみを再登録できます。クライアントをアンインストール (ipa-client-install --uninstall を使用) した場合や、ホストエントリーを無効 (ipa host-disable を使用) にした場合は再登録できません。

クライアントの名前を変更すると、再登録することができません。これは、Identity Management では LDAP にあるクライアントのエントリーのキー属性はクライアントのホスト名 FQDN であるためです。クライアントの再登録中はクライアントの LDAP オブジェクトは変更されませんが、クライアントの名前を変更すると、クライアントの鍵とその他の情報は新しい FQDN を持つ異なる LDAP オブジェクトに格納されます。そのため、IdM からホストをアンインストールし、ホストのホスト名を変更して、新しい名前で IdM クライアントとしてインストールするのが、クライアントの名前を変更する唯一の方法です。クライアント名を変更する方法は、Identity Management クライアントシステムの名前の変更 を参照してください。

クライアント再登録中に行われること

Identity Management は再登録中に以下を行います。

  • 元のホスト証明書を破棄する。
  • 新規の SSH 鍵を作成する。
  • 新規のキータブを生成する。

41.9.2. ユーザー認証情報でクライアントの再登録: 対話的な再登録

許可されたユーザーの認証情報を使用して、Identity Management クライアントを対話的に再登録するには、次の手順に従います。

  1. 同じホスト名のクライアントマシンを再作成します。
  2. クライアントマシンで ipa-client-install --force-join コマンドを実行します。

    # ipa-client-install --force-join
  3. スクリプトにより、アイデンティティーがクライアントの再登録に使用されるユーザーの入力が求められます。たとえば、登録管理者 (Enrollment Administrator) ロールを持つ hostadmin ユーザーなどが該当します。

    User authorized to enroll computers: hostadmin
    Password for hostadmin@EXAMPLE.COM:

関連情報

41.9.3. クライアントキータブを使用したクライアントの再登録: 非対話的な再登録

以前にデプロイしたクライアントシステムの krb5.keytab キータブファイルを使用して、非対話形式で Identity Management (IdM) クライアントを再登録できます。たとえば、クライアントのキータブを使用した再登録は自動インストールに適しています。

前提条件

  • 別のシステムで、以前にデプロイしたクライアントのキータブをバックアップした。

手順

  1. 同じホスト名のクライアントマシンを再作成します。
  2. バックアップの場所から、再作成したクライアントマシンの /tmp/ ディレクトリーなどにキータブファイルをコピーします。

    重要

    キータブを /etc/krb5.keytab ファイルに配置しないでください。ipa-client-install インストールスクリプトの実行中に、この場所から古いキーが削除されるためです。

  3. ipa-client-install ユーティリティーを使用してクライアントを再登録します。--keytab オプションを使用してキータブの場所を指定します。

    # ipa-client-install --keytab /tmp/krb5.keytab
    注記

    --keytab オプションで指定したキータブは、再登録を開始するための認証時にのみ使用されます。再登録中、IdM はクライアントに対して新しいキータブを生成します。

41.9.4. インストール後の Identity Management クライアントのテスト

コマンドラインインターフェイスにより、ipa-client-install が正常に実行されたことが通知されますが、独自のテストを行うこともできます。

Identity Management クライアントが、サーバーに定義したユーザーに関する情報を取得できることをテストするには、サーバーに定義したユーザーを解決できることを確認します。たとえば、デフォルトの admin ユーザーを確認するには、次のコマンドを実行します。

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

認証が適切に機能することをテストするには、別の IdM ユーザーで su - を実行します。

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.