11.8. Comunicações do cliente IdM com o servidor durante a implantação pós-instalação

O lado cliente da estrutura de Gerenciamento de Identidade (IdM) é implementado com duas aplicações diferentes:

  • a interface de linha de comando (CLI) ipa
  • a interface Web baseada no navegador

A interface Web baseada no navegador é opcional.

Asoperações de pós-instalação da CLI mostram as operações realizadas pela CLI durante uma implantação pós-instalação de um cliente da IdM. As operações de pós-instalação da Web UI mostram as operações realizadas pela Web UI durante a implantação de um cliente IdM pós-instalação.

Dois daemons rodam no cliente IdM, o System Security Services Daemon (SSSD) e certmonger. Os padrões de comunicação SSSD e Certmonger descrevem como estes daemons se comunicam com os serviços disponíveis nos servidores da IdM e Active Directory.

Tabela 11.2. Operações CLI pós-instalação

OperaçãoProtocolo utilizadoObjetivo

Resolução DNS contra os resolvedores DNS configurados no sistema do cliente

DNS

Para descobrir os endereços IP dos mestres da IdM

Pedidos às portas 88 (TCP/TCP6 e UDP/UDP6) e 464 (TCP/TCP6 e UDP/UDP6) em uma réplica do IdM

Kerberos

Para obter um bilhete Kerberos; mudar uma senha Kerberos; autenticar na IDM Web UI

Chamadas do JSON-RPC para o serviço web baseado no IdM Apache sobre mestres IdM descobertos ou configurados

HTTPS

qualquer ipa uso utilitário

Tabela 11.3. Operações de pós-instalação da Web UI

OperaçãoProtocolo utilizadoObjetivo

Chamadas do JSON-RPC para o serviço web baseado no IdM Apache sobre mestres IdM descobertos ou configurados

HTTPS

Para recuperar as páginas da IdM Web UI

11.8.1. Padrões de comunicação SSSD

O System Security Services Daemon (SSSD) é um serviço de sistema para acessar diretórios remotos e mecanismos de autenticação. Se configurado em um cliente IdM de Gerenciamento de Identidade, ele se conecta ao servidor IdM, que fornece autenticação, autorização e outras informações de identidade e política. Se o servidor IdM estiver em um relacionamento de confiança com o Active Directory (AD), o SSSD também se conecta ao AD para realizar autenticação para usuários AD usando o protocolo Kerberos. Por padrão, o SSSD usa o Kerberos para autenticar qualquer usuário não-local. Em situações especiais, o SSSD pode ser configurado para usar o protocolo LDAP em seu lugar.

O SSSD pode ser configurado para se comunicar com vários servidores. Os padrões de comunicação do SSSD em clientes IdM ao conversar com servidores IdM e os padrões de comunicação do SSSD em servidores IdM agindo como agentes de confiança ao conversar com Controladores de Domínio Active Directory mostram padrões de comunicação comuns para SSSD no IdM.

Tabela 11.4. Padrões de comunicação de SSSD em clientes da IdM ao falar com servidores da IdM

OperaçãoProtocolo utilizadoObjetivo

Resolução DNS contra os resolvedores DNS configurados no sistema do cliente

DNS

Para descobrir os endereços IP dos mestres da IdM

Pedidos às portas 88 (TCP/TCP6 e UDP/UDP6), 464 (TCP/TCP6 e UDP/UDP6), e 749 (TCP/TCP6) sobre uma réplica de Gerenciamento de Identidade e controladores de domínio Active Directory

Kerberos

Para obter um bilhete Kerberos; para mudar uma senha Kerberos

Solicitações sobre TCP/TCP6 para portas 389 em servidores IdM, usando autenticação SASL GSSAPI, LDAP simples, ou ambos

LDAP

Para obter informações sobre usuários e hosts IdM, baixe as regras HBAC e sudo, mapas automáticos, o contexto do usuário SELinux, chaves SSH públicas e outras informações armazenadas no IdM LDAP

(opcionalmente) Em caso de autenticação de cartão inteligente, os pedidos ao OCSP (Online Certificate Status Protocol) respondem, se estiver configurado. Isto freqüentemente é feito via porta 80, mas depende do valor real da URL do respondedor OCSP em um certificado de cliente.

HTTP

Para obter informações sobre o status do certificado instalado no Cartão Smart Card

Tabela 11.5. Padrões de comunicação de SSSD em servidores IdM agindo como agentes de confiança ao falar com Controladores de Domínio Active Directory

OperaçãoProtocolo utilizadoObjetivo

Resolução DNS contra os resolvedores DNS configurados no sistema do cliente

DNS

Para descobrir os endereços IP dos mestres da IdM

Pedidos às portas 88 (TCP/TCP6 e UDP/UDP6), 464 (TCP/TCP6 e UDP/UDP6), e 749 (TCP/TCP6) sobre uma réplica de Gerenciamento de Identidade e controladores de domínio Active Directory

Kerberos

Para obter um bilhete Kerberos; mudar uma senha Kerberos; administrar Kerberos remotamente

Solicitações às portas 389 (TCP/TCP6 e UDP/UDP6) e 3268 (TCP/TCP6)

LDAP

Para consultar informações de usuários e grupos do Active Directory; para descobrir os controladores de domínio do Active Directory

(opcionalmente) Em caso de autenticação de cartão inteligente, os pedidos ao OCSP (Online Certificate Status Protocol) respondem, se estiver configurado. Isto freqüentemente é feito via porta 80, mas depende do valor real da URL do respondedor OCSP em um certificado de cliente.

HTTP

Para obter informações sobre o status do certificado instalado no Cartão Smart Card