Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 44. Configuración de la autenticación con un certificado almacenado en el escritorio de un cliente IdM
Al configurar la gestión de identidades (IdM), los administradores del sistema IdM pueden permitir que los usuarios se autentiquen en la interfaz de usuario web de IdM y en la interfaz de línea de comandos (CLI) utilizando un certificado que una autoridad de certificación (CA) ha emitido para los usuarios.
El navegador web puede ejecutarse en un sistema que no forme parte del dominio IdM.
Esta historia de usuario proporciona instrucciones sobre cómo configurar y probar eficazmente el inicio de sesión en la UI web y la CLI de Identity Management con un certificado almacenado en el escritorio de un cliente de IdM. Al seguir esta historia de usuario,
- puede omitir Sección 44.2, “Solicitar un nuevo certificado de usuario y exportarlo al cliente” si el usuario que desea autenticar utilizando un certificado ya tiene un certificado;
- puede omitir Sección 44.3, “Asegurarse de que el certificado y el usuario están vinculados” si el certificado del usuario ha sido emitido por la CA de IdM.
Sólo los usuarios de Gestión de Identidades pueden iniciar sesión en la interfaz web utilizando un certificado. Los usuarios de Active Directory pueden iniciar sesión con su nombre de usuario y contraseña.
44.1. Configuración del servidor de gestión de identidades para la autenticación de certificados en la interfaz web
Como administrador de la gestión de identidades (IdM), puede permitir a los usuarios utilizar certificados para autenticarse en su entorno de IdM.
Procedimiento
Como administrador de la Gestión de Identidades:
En un servidor de gestión de identidades, obtenga privilegios de administrador y cree un script de shell para configurar el servidor.
Ejecute el comando
ipa-advise config-server-for-smart-card-auth
, y guarde su salida en un archivo, por ejemploserver_certificate_script.sh
:# kinit admin # ipa-advise config-server-for-smart-card-auth >
server_certificate_script.sh
Añade permisos de ejecución al archivo utilizando la utilidad
chmod
:# chmod x
server_certificate_script.sh
En todos los servidores del dominio de Gestión de Identidades, ejecute el script
server_certificate_script.sh
con la ruta del certificado de la autoridad de certificación IdM,
/etc/ipa/ca.crt
, como entrada si la CA IdM es la única autoridad de certificación que ha emitido los certificados de los usuarios para los que desea habilitar la autenticación de certificados:#
./server_certificate_script.sh
/etc/ipa/ca.crt
con las rutas que conducen a los certificados de CA relevantes como entrada si diferentes CAs externas firmaron los certificados de los usuarios para los que desea habilitar la autenticación de certificados:
#
./server_certificate_script.sh
/tmp/ca1.pem
/tmp/ca2.pem
No olvides ejecutar el script en cada nueva réplica que añadas al sistema en el futuro si quieres tener habilitada la autenticación de certificados para los usuarios en toda la topología.