12.4. 禁用和重新启用主机条目
活动主机可由域中的其他服务、主机和用户访问。有些情况下,需要从活动中删除主机。但是,删除主机会删除该条目及所有关联的配置,并且会永久删除。
12.4.1. 禁用主机条目
禁用主机可防止域用户访问该主机,而不将其永久从域中删除。这可以通过使用 host-disable 命令来完成。
例如:
[jsmith@ipaserver ~]$ kinit admin [jsmith@ipaserver ~]$ ipa host-disable server.example.com
重要
禁用主机条目不仅会禁用该主机。它还会禁用该主机上每个配置的服务。
12.4.2. 重新启用主机
这部分描述了如何重新启用禁用的 IdM 主机。
禁用主机会删除其活动 keytab,该选项卡将主机从 IdM 域中删除,而不影响其配置条目。
要重新启用主机,请使用 ipa-getkeytab 命令,添加:
-s
选项来指定要从哪个 IdM 服务器请求 keytab-p
选项来指定主体名称k
选项来指定保存 keytab 的文件。
例如,要为
client.example.com
从 server.example.com
请求新的主机 keytab,并将 keytab 存储在 /etc/krb5.keytab
文件中:
$ ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
注意
您还可以使用管理员的凭据,指定
-D "uid=admin,cn=users,cn=accounts,dc=example,dc=com"
。重要的是,凭据对应于允许为主机创建 keytab 的用户。
如果您在活动的 IdM 客户端或服务器上运行 ipa-getkeytab 命令,那么如果用户具有使用 kinit admin 获取的 TGT,您可以在没有 LDAP 凭据(
-D
和 -w
)的情况下运行它。若要在禁用的主机上直接运行命令,请提供 LDAP 凭据来向 IdM 服务器进行身份验证。