40.11. 禁用和重新启用主机条目
本节介绍了如何在身份管理(IdM)中禁用和重新启用主机。
40.11.1. 禁用主机
完成这个流程来禁用 IdM 中的主机条目。
域服务、主机和用户可以访问活动的主机。某些情况下,出于维护原因需要临时删除活动的主机。在这种情况下,不需要删除主机,因为它会永久删除主机条目和所有关联的配置。相反,可选择禁用该主机的选项。
禁用主机可防止域用户访问它,而不必将其从域中永久删除。
步骤
使用
host-disable
命令禁用主机。禁用主机将终止主机当前活动的 keytab。例如:$ kinit admin $ ipa host-disable client.example.com
禁用主机后,主机将对所有 IdM 用户、主机和服务都不可用。
禁用主机条目不仅会禁用该主机。它还会禁用该主机上每个配置的服务。
40.11.2. 重新启用主机
按照以下流程重新启用禁用的 IdM 主机。
禁用主机会终止其活动的 keytab,这会从 IdM 域中删除主机,而不影响其配置条目。
步骤
要重新启用主机,请使用
ipa-getkeytab
命令,添加:-
-s
选项来指定要从哪个 IdM 服务器请求 keytab -
-p
选项来指定主体名称 -
k
选项来指定保存 keytab 的文件。
-
例如,要为 client.example.com
从 server.example.com
请求新的主机 keytab,并将 keytab 存储在 /etc/krb5.keytab
文件中:
$ ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
您还可以使用管理员的凭据,指定 -D "uid=admin,cn=users,cn=accounts,dc=example,dc=com"
。重要的是,凭据对应于允许为主机创建 keytab 的用户。
如果 ipa-getkeytab
命令在活动的 IdM 客户端或服务器上运行,那么如果用户具有例如通过kinit admin
获取的 TGT,则可以在没有 LDAP 凭据(-D
和 -w
)的情况下运行该命令。若要在禁用的主机上直接运行命令,请提供 LDAP 凭据来向 IdM 服务器进行身份验证。