Red Hat Training

A Red Hat training course is available for RHEL 8

33.4.2. Asociar indicadores de autenticación a un servicio IdM

Este procedimiento describe la configuración de un servicio para requerir determinados indicadores de autenticación Kerberos de las solicitudes de tickets de servicio entrantes.

Requisitos previos

Aviso

Haga not asigne indicadores de autenticación a los servicios internos de IdM. Los siguientes servicios de IdM no pueden realizar los pasos de autenticación interactiva requeridos por PKINIT y los métodos de autenticación multifactor:

host/server.example.com@EXAMPLE.COM
HTTP/server.example.com@EXAMPLE.COM
ldap/server.example.com@EXAMPLE.COM
DNS/server.example.com@EXAMPLE.COM
cifs/server.example.com@EXAMPLE.COM

Procedimiento

  • Utilice el comando ipa service-mod para especificar uno o más indicadores de autenticación necesarios para un servicio, identificado con el argumento --auth-ind.

    Método de autenticación--auth-ind valor

    Autenticación de dos factores

    otp

    Autenticación RADIUS

    radius

    Autenticación por PKINIT, tarjeta inteligente o certificado

    pkinit

    Contraseñas reforzadas (SPAKE o FAST)

    hardened

    Por ejemplo, para requerir que un usuario se autentique con tarjeta inteligente o autenticación OTP para recuperar un ticket de servicio para la entidad de seguridad testservice en el host client.example.com:

    [root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit
    -------------------------------------------------------------
    Modified service "testservice/client.example.com@EXAMPLE.COM"
    -------------------------------------------------------------
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Managed by: client.example.com
Nota

Para eliminar todos los indicadores de autenticación de un servicio, proporcione una lista vacía de indicadores:

[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com

Pasos de verificación

  • Muestra información sobre un servicio IdM, incluidos los indicadores de autenticación que requiere, con el comando ipa service-show.

    [root@server ~]# ipa service-show testservice/client.example.com
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Keytab: True
      Managed by: client.example.com

Recursos adicionales