Red Hat Training
A Red Hat training course is available for RHEL 8
27.2.2. Registro y autenticación de hosts y usuarios de IdM: comparación
Existen muchas similitudes entre los usuarios y los hosts en IdM. En esta sección se describen algunas de las similitudes que se pueden observar durante la etapa de inscripción, así como las que se refieren a la autenticación durante la etapa de despliegue.
La etapa de inscripción (Tabla 27.1, “Inscripción de usuarios y hosts”):
-
Un administrador puede crear una entrada LDAP tanto para un usuario como para un host antes de que el usuario o el host se unan realmente a IdM: para el usuario del escenario, el comando es
ipa stageuser-add; para el host, el comando esipa host-add. -
Durante la ejecución del comando
ipa-client-installen el host se crea un archivo que contiene una key table o, abreviado, keytab, una clave simétrica que se asemeja en cierta medida a una contraseña de usuario, lo que hace que el host se una al reino IdM. De forma análoga, se pide a un usuario que cree una contraseña cuando activa su cuenta, uniéndose así al reino IdM. - Mientras que la contraseña de usuario es el método de autenticación por defecto para un usuario, el keytab es el método de autenticación por defecto para un host. El keytab se almacena en un archivo en el host.
Tabla 27.1. Inscripción de usuarios y hosts
Acción Usuario Anfitrión Antes de la inscripción
$ ipa stageuser-add user_name [--password]
$ ipa host-add host_name [--random]
Activación de la cuenta
$ ipa stageuser-activate user_name
$ ipa-client install [--password] (debe ejecutarse en el propio host)
-
Un administrador puede crear una entrada LDAP tanto para un usuario como para un host antes de que el usuario o el host se unan realmente a IdM: para el usuario del escenario, el comando es
La etapa de despliegue (Tabla 27.2, “Autenticación de la sesión del usuario y del host”):
- Cuando un usuario inicia una nueva sesión, se autentifica utilizando una contraseña; del mismo modo, cada vez que se enciende, el host se autentifica presentando su archivo keytab. El demonio de servicios de seguridad del sistema (SSSD) gestiona este proceso en segundo plano.
- Si la autenticación tiene éxito, el usuario o el host obtiene un ticket de concesión de Kerberos (TGT).
- El TGT se utiliza entonces para obtener billetes específicos para servicios concretos.
Tabla 27.2. Autenticación de la sesión del usuario y del host
Usuario Anfitrión Medio de autentificación por defecto
Password
Keytabs
Iniciar una sesión (usuario ordinario)
$ kinit user_name
[switch on the host]
El resultado de una autenticación exitosa
TGT para obtener acceso a servicios específicos
TGT para obtener acceso a servicios específicos
Los TGT y otros tiques Kerberos se generan como parte de los servicios y políticas Kerberos definidos por el servidor. La concesión inicial de un ticket Kerberos, la renovación de las credenciales Kerberos e incluso la destrucción de la sesión Kerberos son gestionadas automáticamente por los servicios IdM.
