Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 1. Inicio de sesión en la Gestión de Identidades desde la línea de comandos

La gestión de identidades (IdM) utiliza el protocolo Kerberos para soportar el inicio de sesión único. El inicio de sesión único significa que el usuario introduce el nombre de usuario y la contraseña correctos una sola vez y, a continuación, accede a los servicios de IdM sin que el sistema le pida las credenciales de nuevo.

Importante

En IdM, el demonio de servicios de seguridad del sistema (SSSD) obtiene automáticamente un ticket de concesión (TGT) para un usuario después de que éste inicie correctamente la sesión en el entorno de escritorio de un equipo cliente de IdM con el correspondiente nombre de entidad de seguridad de Kerberos. Esto significa que después de iniciar la sesión, el usuario no tiene que utilizar la utilidad kinit para acceder a los recursos de IdM.

Si ha borrado la caché de credenciales de Kerberos o su TGT de Kerberos ha caducado, deberá solicitar un ticket de Kerberos manualmente para acceder a los recursos de IdM. En las siguientes secciones se presentan las operaciones básicas de usuario cuando se utiliza Kerberos en IdM.

1.1. Utilizando kinit para iniciar sesión en IdM manualmente

Este procedimiento describe el uso de la utilidad kinit para autenticarse en un entorno de gestión de identidades (IdM) de forma manual. La utilidad kinit obtiene y almacena en caché un ticket Kerberos (TGT) en nombre de un usuario IdM.

Nota

Utilice este procedimiento sólo si ha destruido su TGT inicial de Kerberos o si ha caducado. Como usuario de IdM, al iniciar la sesión en su máquina local también está iniciando automáticamente la sesión en IdM. Esto significa que, después de iniciar la sesión, no es necesario utilizar la utilidad kinit para acceder a los recursos de IdM.

Procedimiento

  1. Para conectarse a IdM

    • bajo el nombre de usuario del usuario que ha iniciado la sesión en el sistema local, utilice kinit sin especificar un nombre de usuario. Por ejemplo, si está conectado como example_user en el sistema local: 

      [example_user@server ~]$ kinit
Password for example_user@EXAMPLE.COM:
[example_user@server ~]$

      Si el nombre de usuario del usuario local no coincide con ninguna entrada de usuario en IdM, el intento de autenticación falla: 

      [example_user@server ~]$ kinit
kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials

    • utilizando una entidad de seguridad Kerberos que no se corresponde con su nombre de usuario local, pase el nombre de usuario requerido a la utilidad kinit. Por ejemplo, para iniciar sesión como el usuario admin: 

      [example_user@server ~]$ kinit admin
Password for admin@EXAMPLE.COM:
[example_user@server ~]$

  2. Opcionalmente, para verificar que el inicio de sesión fue exitoso, utilice la utilidad klist para mostrar el TGT en caché. En el siguiente ejemplo, la caché contiene un ticket para la entidad de seguridad example_user, lo que significa que en este host concreto, sólo example_user puede acceder actualmente a los servicios de IdM: 

    $ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: example_user@EXAMPLE.COM

Valid starting     	Expires            	Service principal
11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM