Red Hat Training
A Red Hat training course is available for RHEL 8
33.4.2. Associando indicadores de autenticação com um serviço IdM
Este procedimento descreve a configuração de um serviço para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.
Pré-requisitos
- Você criou uma entrada de serviço IdM para um serviço que funciona em um host IdM. Veja Criando uma entrada de serviço IdM e sua tabela chave Kerberos.
Faça not atribuir indicadores de autenticação aos serviços internos da IdM. Os seguintes serviços de IdM não podem executar os passos de autenticação interativa exigidos pelo PKINIT e métodos de autenticação multi-fator:
host/server.example.com@EXAMPLE.COM HTTP/server.example.com@EXAMPLE.COM ldap/server.example.com@EXAMPLE.COM DNS/server.example.com@EXAMPLE.COM cifs/server.example.com@EXAMPLE.COM
Procedimento
Use o comando
ipa service-modpara especificar um ou mais indicadores de autenticação necessários para um serviço, identificados com o argumento--auth-ind.Método de autenticação --auth-indvalorAutenticação de dois fatores
otpAutenticação RADIUS
radiusPKINIT, cartão inteligente, ou autenticação de certificado
pkinitSenhas temperadas (SPAKE ou FAST)
hardenedPor exemplo, para exigir que um usuário seja autenticado com cartão inteligente ou autenticação OTP para recuperar um tíquete de serviço para o principal
testserviceno hostclient.example.com:[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit ------------------------------------------------------------- Modified service "testservice/client.example.com@EXAMPLE.COM" ------------------------------------------------------------- Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Managed by: client.example.com
Para remover todos os indicadores de autenticação de um serviço, forneça uma lista vazia de indicadores:
[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
Principal name: testservice/client.example.com@EXAMPLE.COM
Principal alias: testservice/client.example.com@EXAMPLE.COM
Managed by: client.example.comEtapas de verificação
Mostrar informações sobre um serviço IdM, incluindo os indicadores de autenticação necessários, com o comando
ipa service-show.[root@server ~]# ipa service-show testservice/client.example.com Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Keytab: True Managed by: client.example.com
Recursos adicionais
- Para testar a solicitação de uma senha de serviço para um serviço IdM, veja Recuperação de uma senha de serviço Kerberos para um serviço IdM.
