Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 1. Login para Gerenciamento de Identidade a partir da linha de comando

A Gestão de Identidade (IdM) usa o protocolo Kerberos para suportar o sign-on único. Single sign-on significa que o usuário digita o nome de usuário e senha corretos apenas uma vez, e então acessa os serviços da IdM sem que o sistema solicite novamente as credenciais.

Importante

Na IdM, o System Security Services Daemon (SSSD) obtém automaticamente um ticket-granting ticket (TGT) para um usuário depois que o usuário faz o login com sucesso no ambiente de trabalho em uma máquina cliente IdM com o nome principal correspondente Kerberos. Isto significa que após o login, o usuário não é obrigado a usar o utilitário kinit para acessar os recursos da IdM.

Se você tiver liberado seu cache de credenciais Kerberos ou se seu Kerberos TGT tiver expirado, você precisa solicitar um bilhete Kerberos manualmente para acessar os recursos da IdM. As seções seguintes apresentam operações básicas do usuário ao usar o Kerberos no IdM.

1.1. Usando kinit para fazer o log in manualmente no IdM

Este procedimento descreve o uso do utilitário kinit para autenticar manualmente para um ambiente de Gerenciamento de Identidade (IdM). O utilitário kinit obtém e armazena um bilhete de passagem Kerberos (TGT) em nome de um usuário IdM.

Nota

Use este procedimento somente se você tiver destruído seu Kerberos TGT inicial ou se ele tiver expirado. Como um usuário IdM, ao entrar em sua máquina local, você também estará automaticamente entrando na IdM. Isto significa que, após o login, você não é obrigado a usar o utilitário kinit para acessar os recursos da IdM.

Procedimento

  1. Para fazer login na IdM

    • sob o nome do usuário que está atualmente logado no sistema local, use kinit sem especificar um nome de usuário. Por exemplo, se você estiver logado como example_user no sistema local:

      [example_user@server ~]$ kinit
      Password for example_user@EXAMPLE.COM:
      [example_user@server ~]$

      Se o nome do usuário local não corresponder a nenhuma entrada de usuário no IdM, a tentativa de autenticação falha:

      [example_user@server ~]$ kinit
      kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
    • usando um Kerberos principal que não corresponde ao seu nome de usuário local, passe o nome de usuário requerido para o utilitário kinit. Por exemplo, para fazer o login como usuário admin:

      [example_user@server ~]$ kinit admin
      Password for admin@EXAMPLE.COM:
      [example_user@server ~]$
  2. Opcionalmente, para verificar se o login foi bem sucedido, use o utilitário klist para exibir o TGT em cache. No exemplo a seguir, o cache contém um ticket para o principal example_user, o que significa que neste host em particular, apenas example_user está atualmente autorizado a acessar os serviços da IdM:

    $ klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: example_user@EXAMPLE.COM
    
    Valid starting     	Expires            	Service principal
    11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM