搜索

41.9. 重新注册身份管理客户端

download PDF

本节描述了重新注册身份管理客户端的不同方法。

41.9.1. IdM 中的客户端重新注册

在重新注册过程中,客户端会生成一个新的 Kerberos 密钥和 SSH 密钥,但 LDAP 数据库中客户端的身份保持不变。重新注册后,在机器与 IdM 服务器失去连接之前,主机像以前一样,其密钥和其他信息放在具有相同 FQDN 的同一 LDAP 对象中。

重要

您只能重新注册域条目仍然活跃的客户端。如果您卸载了客户端(使用 ipa-client-install --uninstall)或者禁用了其主机条目(使用 ipa host-disable),则无法重新注册它。

您不能在重命名客户端后重新注册客户端。这是因为在身份管理中,LDAP 中客户端条目的 key 属性是客户端的主机名,即其 FQDN。与重新注册客户端(在此期间客户端的 LDAP 对象保持不变)不同,重命名客户端的结果是,客户端的密钥和其他信息位于具有新 FQDN 的不同的 LDAP 对象中。因此,重命名客户端的唯一方法是从 IdM 卸载主机,更改主机的主机名,并使用新名称将其安装为 IdM 客户端。有关如何重命名客户端的详情,请参考 重命名身份管理客户端系统

客户端重新注册过程中会发生什么

重新注册期间的身份管理:

  • 吊销原始主机证书
  • 创建新 SSH 密钥
  • 生成一个新的 keytab

41.9.2. 使用用户凭证重新注册客户端: 交互式重新注册

按照以下流程,使用授权用户的凭证以互动方式重新注册身份管理客户端。

  1. 重新创建具有相同主机名的客户端机器。
  2. 在客户端机器上运行 ipa-client-install --force-join 命令:

    # ipa-client-install --force-join
  3. 该脚本提示其身份用于重新注册客户端的用户。例如,这可能是具有注册管理员角色的 hostadmin 用户:

    User authorized to enroll computers: hostadmin
    Password for hostadmin@EXAMPLE.COM:

其他资源

41.9.3. 使用 client keytab: Non-interactive reenrollment 重新注册客户端

您可以使用之前部署中客户端系统的 krb5.keytab keytab 文件,以非交互方式重新注册身份管理(IdM)客户端。例如,使用客户端 keytab 重新注册适用于自动安装。

先决条件

  • 您已在另一个系统上备份了以前部署中的客户端的 keytab。

流程

  1. 重新创建具有相同主机名的客户端机器。
  2. 将 keytab 文件从备份位置复制到重新创建的客户端机器,例如其 /tmp/ 目录。

    重要

    不要将 keytab 放在 /etc/krb5.keytab 文件中,因为在执行 ipa-client-install 安装脚本过程中,旧密钥会从这个位置删除。

  3. 使用 ipa-client-install 工具重新注册客户端。使用 --keytab 选项指定 keytab 位置:

    # ipa-client-install --keytab /tmp/krb5.keytab
    注意

    --keytab 选项中指定的 keytab 仅在进行身份验证,以启动重新注册时使用。在重新注册过程中,IdM 为客户端生成一个新的 keytab。

41.9.4. 安装后测试身份管理客户端

命令行界面告知您 ipa-client-install 已成功,但您也可以自行进行测试。

要测试身份管理客户端是否可以获取服务器上定义的用户的信息,请检查您是否能够解析服务器上定义的用户。例如,检查默认的 admin 用户:

[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

要测试身份验证是否正常工作,请su - 为另一个 IdM 用户:

[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.