3.3. 安装客户端


ipa-client-install 工具安装并配置 IdM 客户端。安装过程要求您提供可用于注册客户端的凭证。支持以下验证方法:
授权注册客户端的用户凭证,如 admin
默认情况下,ipa-client-install 需要这个选项。请参阅 第 3.3.1 节 “交互式安装客户端” 以获得示例。
要直接向 ipa-client-install 提供用户凭证,请使用 --principal--password 选项。
服务器上预生成的随机、一次性密码
要使用此验证方法,请在 ipa-client-install 选项中添加 --random 选项。请参阅 例 3.1 “使用 Random 密码以非交互方式安装客户端”
来自之前的报名登记的主体
要使用此身份验证方法,请将 --keytab 选项添加到 ipa-client-install。详情请查看 第 3.8 节 “将客户端重新注册到 IdM 域”
详情请查看 ipa-client-install(1) man page。
以下小节记录了基本安装场景。有关使用 ipa-client-install 和接受选项的完整列表的详情,请查看 ipa-client-install(1) man page。

3.3.1. 交互式安装客户端

以下流程在提示用户在需要时输入时安装客户端。用户提供授权将客户端注册到域中的用户凭据,如 admin 用户。
  1. 运行 ipa-client-install 工具。
    添加 --enable-dns-updates 选项,如果适用,请使用客户端机器的 IP 地址更新 DNS 记录:
    • 客户端注册的 IdM 服务器已安装了集成的 DNS
    • 网络上的 DNS 服务器接受使用 GSS-TSIG 协议的 DNS 条目更新
    添加 --no-krb5-offline-passwords 选项以禁用在 SSSD 缓存中存储 Kerberos 密码。
  2. 安装脚本会尝试自动获取所有必需的设置。
    1. 如果您的系统上正确设置了 DNS 区域和 SRV 记录,脚本会自动发现所有需要的值并打印它们。输入 yes 以确认。
      Client hostname: client.example.com
      Realm: EXAMPLE.COM
      DNS Domain: example.com
      IPA Server: server.example.com
      BaseDN: dc=example,dc=com
      
      Continue to configure the system with these values? [no]: yes
      如果要使用不同值安装系统,请取消当前安装。然后再次运行 ipa-client-install,并使用命令行选项指定所需的值。
      详情请查看 ipa-client-install(1) man page 中的 DNS 自动发现 部分。
    2. 如果脚本自动获取一些设置,它会提示您输入这些值。
      重要
      不要使用单标签域名,例如 .company:IdM 域必须由一个或多个子域和一个顶层域组成,如 example.com 或 company.example.com。
      完全限定域名必须满足以下条件:
      • 它是一个有效的 DNS 名称,即只允许数字、字母字符和连字符(-)。主机名中的其他字符(如下划线(_))会导致 DNS 失败。
      • 都是小写。不允许使用大写字母。
      • 完全限定域名不能解析到环回地址。它必须解析到计算机的公共 IP 地址,而不是 127.0.0.1
      有关其他推荐的命名实践,请参阅 Red Hat Enterprise Linux 安全指南中的 推荐命名实践
  3. 该脚本提示其身份用于注册客户端的用户。默认情况下,这是 admin 用户:
    User authorized to enroll computers: admin
    Password for admin@EXAMPLE.COM
  4. 安装脚本现在配置客户端。等待操作完成。
    Client configuration complete.
  5. 运行 ipa-client-automount 工具,它为 IdM 自动配置 NFS。详情请查看 第 34.2.1 节 “自动配置 NFS”

3.3.2. 以非交互方式安装客户端

对于非互动安装,请使用命令行选项向 ipa-client-install 工具提供所有必需的信息。非互动安装的最低必需选项为:
如果您的系统上正确设置了 DNS 区域和 SRV 记录,脚本会自动发现所有其他必要值。如果脚本无法自动发现这些值,请使用命令行选项提供值。
  • --hostname 为客户端机器指定静态主机名
    重要
    不要使用单标签域名,例如 .company:IdM 域必须由一个或多个子域和一个顶层域组成,如 example.com 或 company.example.com。
    完全限定域名必须满足以下条件:
    • 它是一个有效的 DNS 名称,即只允许数字、字母字符和连字符(-)。主机名中的其他字符(如下划线(_))会导致 DNS 失败。
    • 都是小写。不允许使用大写字母。
    • 完全限定域名不能解析到环回地址。它必须解析到计算机的公共 IP 地址,而不是 127.0.0.1
    有关其他推荐的命名实践,请参阅 Red Hat Enterprise Linux 安全指南中的 推荐命名实践
  • --server 用于指定客户端将要注册的 IdM 服务器的主机名
  • --domain 用于指定客户端将要注册的 IdM 服务器的 DNS 域名
  • --realm 指定 Kerberos 域名
添加 --enable-dns-updates 选项,如果适用,请使用客户端机器的 IP 地址更新 DNS 记录:
  • 客户端注册的 IdM 服务器已安装了集成的 DNS
  • 网络上的 DNS 服务器接受使用 GSS-TSIG 协议的 DNS 条目更新
添加 --no-krb5-offline-passwords 选项以禁用在 SSSD 缓存中存储 Kerberos 密码。
有关 ipa-client-install 接受的选项的完整列表,请查看 ipa-client-install(1) man page。

例 3.1. 使用 Random 密码以非交互方式安装客户端

这个过程会在不提示用户进行任何输入的情况下安装客户端。进程包括在服务器上预生成用于授权注册的一次性密码。
  1. 在现有服务器中:
    1. 以管理员身份登录:
      $ kinit admin
    2. 将新机器作为 IdM 主机添加。在 ipa host-add 命令中使用 --random 选项来生成随机密码。
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      当使用生成的密码将机器注册到 IdM 域后,生成的密码将变为无效。注册完成后,它将被一个正确的主机 keytab 替换。
  2. 在您要安装客户端的机器上,运行 ipa-client-install,并使用以下选项:
    • --password 用于 ipa host-add 输出中的随机密码
      注意
      密码通常包含特殊字符。因此,将其括在单引号(')中。
    • --unattended 允许运行安装而无需用户确认
    如果您的系统上正确设置了 DNS 区域和 SRV 记录,脚本会自动发现所有其他必要值。如果脚本无法自动发现这些值,请使用命令行选项提供值。
    例如:
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. 运行 ipa-client-automount 工具,它为 IdM 自动配置 NFS。详情请查看 第 34.2.1 节 “自动配置 NFS”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.