41.9. 重新注册身份管理客户端
本节描述了重新注册身份管理客户端的不同方法。
41.9.1. IdM 中的客户端重新注册
在重新注册过程中,客户端会生成一个新的 Kerberos 密钥和 SSH 密钥,但 LDAP 数据库中客户端的身份保持不变。重新注册后,在机器与 IdM 服务器失去连接之前,主机像以前一样,其密钥和其他信息放在具有相同 FQDN
的同一 LDAP 对象中。
您只能重新注册域条目仍然活跃的客户端。如果您卸载了客户端(使用 ipa-client-install --uninstall
)或者禁用了其主机条目(使用 ipa host-disable
),则无法重新注册它。
您不能在重命名客户端后重新注册客户端。这是因为在身份管理中,LDAP 中客户端条目的 key 属性是客户端的主机名,即其 FQDN
。与重新注册客户端(在此期间客户端的 LDAP 对象保持不变)不同,重命名客户端的结果是,客户端的密钥和其他信息位于具有新 FQDN
的不同的 LDAP 对象中。因此,重命名客户端的唯一方法是从 IdM 卸载主机,更改主机的主机名,并使用新名称将其安装为 IdM 客户端。有关如何重命名客户端的详情,请参考 重命名身份管理客户端系统。
客户端重新注册过程中会发生什么
重新注册期间的身份管理:
- 吊销原始主机证书
- 创建新 SSH 密钥
- 生成一个新的 keytab
41.9.2. 使用用户凭证重新注册客户端: 交互式重新注册
按照以下流程,使用授权用户的凭证以互动方式重新注册身份管理客户端。
- 重新创建具有相同主机名的客户端机器。
在客户端机器上运行
ipa-client-install --force-join
命令:# ipa-client-install --force-join
该脚本提示其身份用于重新注册客户端的用户。例如,这可能是具有注册管理员角色的
hostadmin
用户:User authorized to enroll computers:
hostadmin
Password forhostadmin
@EXAMPLE.COM
:
其他资源
- 请参阅 安装身份管理 中的 使用用户凭证安装客户端:交互式安装。
41.9.3. 使用 client keytab: Non-interactive reenrollment 重新注册客户端
您可以使用之前部署中客户端系统的 krb5.keytab
keytab 文件,以非交互方式重新注册身份管理(IdM)客户端。例如,使用客户端 keytab 重新注册适用于自动安装。
先决条件
- 您已在另一个系统上备份了以前部署中的客户端的 keytab。
流程
- 重新创建具有相同主机名的客户端机器。
将 keytab 文件从备份位置复制到重新创建的客户端机器,例如其
/tmp/
目录。重要不要将 keytab 放在
/etc/krb5.keytab
文件中,因为在执行ipa-client-install
安装脚本过程中,旧密钥会从这个位置删除。使用
ipa-client-install
工具重新注册客户端。使用--keytab
选项指定 keytab 位置:# ipa-client-install --keytab /tmp/krb5.keytab
注意在
--keytab
选项中指定的 keytab 仅在进行身份验证,以启动重新注册时使用。在重新注册过程中,IdM 为客户端生成一个新的 keytab。
41.9.4. 安装后测试身份管理客户端
命令行界面告知您 ipa-client-install
已成功,但您也可以自行进行测试。
要测试身份管理客户端是否可以获取服务器上定义的用户的信息,请检查您是否能够解析服务器上定义的用户。例如,检查默认的 admin
用户:
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
要测试身份验证是否正常工作,请su -
为另一个 IdM 用户:
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$