Red Hat Training
A Red Hat training course is available for RHEL 8
33.4.2. Asociar indicadores de autenticación a un servicio IdM
Este procedimiento describe la configuración de un servicio para requerir determinados indicadores de autenticación Kerberos de las solicitudes de tickets de servicio entrantes.
Requisitos previos
- Ha creado una entrada de servicio IdM para un servicio que se ejecuta en un host IdM. Consulte Creación de una entrada de servicio IdM y su llavero Kerberos.
Haga not asigne indicadores de autenticación a los servicios internos de IdM. Los siguientes servicios de IdM no pueden realizar los pasos de autenticación interactiva requeridos por PKINIT y los métodos de autenticación multifactor:
host/server.example.com@EXAMPLE.COM HTTP/server.example.com@EXAMPLE.COM ldap/server.example.com@EXAMPLE.COM DNS/server.example.com@EXAMPLE.COM cifs/server.example.com@EXAMPLE.COM
Procedimiento
Utilice el comando
ipa service-mod
para especificar uno o más indicadores de autenticación necesarios para un servicio, identificado con el argumento--auth-ind
.Método de autenticación --auth-ind
valorAutenticación de dos factores
otp
Autenticación RADIUS
radius
Autenticación por PKINIT, tarjeta inteligente o certificado
pkinit
Contraseñas reforzadas (SPAKE o FAST)
hardened
Por ejemplo, para requerir que un usuario se autentique con tarjeta inteligente o autenticación OTP para recuperar un ticket de servicio para la entidad de seguridad
testservice
en el hostclient.example.com
:[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit ------------------------------------------------------------- Modified service "testservice/client.example.com@EXAMPLE.COM" ------------------------------------------------------------- Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Managed by: client.example.com
Para eliminar todos los indicadores de autenticación de un servicio, proporcione una lista vacía de indicadores:
[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
Principal name: testservice/client.example.com@EXAMPLE.COM
Principal alias: testservice/client.example.com@EXAMPLE.COM
Managed by: client.example.com
Pasos de verificación
Muestra información sobre un servicio IdM, incluidos los indicadores de autenticación que requiere, con el comando
ipa service-show
.[root@server ~]# ipa service-show testservice/client.example.com Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Keytab: True Managed by: client.example.com
Recursos adicionales
- Para probar la solicitud de un vale de servicio para un servicio IdM, consulte Recuperación de un vale de servicio Kerberos para un servicio IdM.