42.3. 主机注册所需的用户权限
主机注册操作需要进行身份验证,以防止非特权用户将不需要的计算机添加到 IdM 域。所需的权限取决于几个因素,例如:
-
创建主机条目与运行
ipa-client-install
是分开的 - 使用一次性密码 (OTP) 进行注册
在 IdM LDAP 中手动创建主机条目的用户权限
使用 ipa host-add
CLI 命令或 IdM Web UI 在 IdM LDAP 中创建主机条目所需的用户权限是 Host Administrators
。Host Administrators
特权可通过 IT Specialist
角色获得。
将客户端加入 IdM 域的用户特权
在执行 ipa-client-install
命令期间,主机被配置为 IdM 客户端。执行 ipa-client-install
命令所需的凭证级别取决于您发现的以下注册场景:
-
IdM LDAP 中的主机条目不存在。在这种情况下,您需要完整的管理员凭据或
Host Administrators
角色。完整的管理员是admins
组的成员。Host Administrators
角色提供添加主机和注册主机的特权。有关此场景的详情,请参阅 使用用户凭证安装客户端:交互式安装。 -
IdM LDAP 中的主机条目存在。在这种情况下,您需要有限的管理员凭证才能成功执行
ipa-client-install
。本例中的有限管理员具有Enrollment Administrator
角色,该角色提供Host Enrollment
。详情请参阅 使用用户凭证安装客户端:交互式安装。 -
IdM LDAP 中的主机条目存在,并且由完整或有限的管理员为主机生成了一个 OTP。在这种情况下,如果您使用
--password
选项运行ipa-client-install
命令,并提供正确的 OTP,则可以普通用户安装 IdM 客户端。详情请参阅 使用一次性密码安装客户端:交互式安装。
注册后,IdM 主机验证每个新会话,以便能访问 IdM 资源。IdM 服务器需要机器身份验证才能信任机器并接受来自该机器上安装的客户端软件的 IdM 连接。验证客户端后,IdM 服务器可以响应其请求。