Red Hat Training

A Red Hat training course is available for RHEL 8

1.4. Terminologia da IdM

Active Directory floresta
Uma floresta Active Directory (AD) é um conjunto de uma ou mais árvores de domínio que compartilham um catálogo global comum, esquema de diretório, estrutura lógica e configuração de diretório. A floresta representa a fronteira de segurança dentro da qual usuários, computadores, grupos e outros objetos são acessíveis. Para mais informações, consulte o documento da Microsoft sobre Florestas.
Catálogo global do Active Directory
O catálogo global é uma característica do Active Directory (AD) que permite que um controlador de domínio forneça informações sobre qualquer objeto na floresta, independentemente de o objeto ser um membro do domínio do controlador de domínio. Os controladores de domínio com o recurso de catálogo global ativado são referidos como servidores de catálogo global. O catálogo global fornece um catálogo pesquisável de todos os objetos em cada domínio em um Active Directory Domain Services (AD DS) multi-domínio.
Identificador de segurança do Active Directory
Um identificador de segurança (SID) é um número de identificação único atribuído a um objeto no Active Directory, tal como um usuário, grupo ou host. É o equivalente funcional dos UIDs e GIDs no Linux.
Jogo possível
As peças de teatro possíveis são os blocos de construção dos Livros de Brinquedos Ansíveis. O objetivo de uma peça de teatro é mapear um grupo de anfitriões para alguns papéis bem definidos, representados por Tarefas Possível.
Livro de jogo possível
Um livro de jogo possível é um arquivo que contém uma ou mais peças de teatro possíveis. Para mais informações, consulte a documentação oficial de um livro-jogo.
Tarefa possível
As tarefas possíveis são unidades de ação em Ansible. Um jogo possível pode conter várias tarefas. O objetivo de cada tarefa é executar um módulo, com argumentos muito específicos. Uma tarefa possível é um conjunto de instruções para alcançar um estado definido, em seus termos gerais, por uma função ou módulo específico de Possível, e afinado pelas variáveis dessa função ou módulo. Para mais informações, consulte a documentação oficial das Tarefas Ansíveis.
Certificado
Um certificado é um documento eletrônico utilizado para identificar um indivíduo, um servidor, uma empresa ou outra entidade e para associar essa identidade a uma chave pública. Tal como uma carteira de motorista ou passaporte, um certificado fornece uma prova geralmente reconhecida da identidade de uma pessoa. A criptografia de chave pública utiliza certificados para resolver o problema da personificação.
Autoridades Certificadoras (CA) em IdM

Uma entidade que emite certificados digitais. Na Red Hat Identity Management, a principal CA é ipa, a IdM CA. O certificado da CA ipa é um dos seguintes tipos:

  • Auto-assinado. Neste caso, a CA ipa é a CA de raiz.
  • Assinado externamente. Neste caso, o ipa CA está subordinado ao CA externo.

Na IdM, você também pode criar múltiplos sub-CAs. Sub-CAs são CAs IdM cujos certificados são um dos seguintes tipos:

  • Assinado pela CA ipa.
  • Assinado por qualquer uma das ACs intermediárias entre si e ipa CA. O certificado de uma sub-CA não pode ser autoassinado.
Confiança na floresta cruzada

Um trust estabelece uma relação de acesso entre dois reinos Kerberos, permitindo que usuários e serviços em um domínio acessem recursos em outro domínio.

Com uma confiança cruzada entre um domínio raiz florestal Active Directory (AD) e um domínio IdM, os usuários dos domínios florestais AD podem interagir com máquinas e serviços Linux do domínio IdM. Da perspectiva do AD, o Gerenciamento da Identidade representa uma floresta AD separada com um único domínio AD. Para mais informações, veja Como funciona a confiança.

Registros DNS PTR
Os registros DNS pointer (PTR) resolvem um endereço IP de um host para um domínio ou nome de host. Os registros PTR são o oposto dos registros DNS A e AAAA, que resolvem nomes de host para endereços IP. Os registros DNS PTR permitem a pesquisa inversa do DNS. Os registros PTR são armazenados no servidor DNS.
Registros DNS SRV
Um registro de serviço DNS (SRV) define o nome do host, número da porta, protocolo de transporte, prioridade e peso de um serviço disponível em um domínio. Você pode usar registros SRV para localizar servidores IdM e réplicas.
Controlador de domínio (DC)
Um controlador de domínio (DC) é um host que responde a solicitações de autenticação de segurança dentro de um domínio e controla o acesso a recursos nesse domínio. Os servidores IdM funcionam como DCs para o domínio IdM. Um CD autentica usuários, armazena informações de contas de usuários e reforça a política de segurança para um domínio. Quando um usuário faz login em um domínio, o CD autentica e valida suas credenciais e permite ou nega o acesso.
Nome de domínio totalmente qualificado

Um nome de domínio totalmente qualificado (FQDN) é um nome de domínio que especifica a localização exata de um host dentro da hierarquia do Sistema de Nomes de Domínio (DNS). Um dispositivo com o hostname myhost no domínio pai example.com tem o FQDN myhost.example.com. O FQDN distingue exclusivamente o dispositivo de qualquer outro host chamado myhost em outros domínios.

Se você estiver instalando um cliente IdM no host machine1 usando o DNS autodiscovery e seus registros DNS estiverem corretamente configurados, a FQDN de machine1 é tudo o que você precisa. Para mais informações, consulte o nome do host e os requisitos DNS para IdM.

Réplica oculta

Uma réplica oculta é uma réplica IdM que tem todos os serviços funcionando e disponíveis, mas suas funções de servidor estão desativadas, e os clientes não podem descobrir a réplica porque ela não tem registros SRV no DNS.

As réplicas ocultas são projetadas principalmente para serviços tais como backups, importação e exportação em massa, ou ações que requerem o fechamento dos serviços IdM. Como nenhum cliente utiliza uma réplica oculta, os administradores podem fechar temporariamente os serviços neste host sem afetar nenhum cliente. Para mais informações, consulte O modo de réplica oculta.

Faixas de identificação

Uma faixa de ID é uma faixa de números de ID atribuídos à topologia IdM ou a uma réplica específica. Você pode usar intervalos de ID para especificar o intervalo válido de UIDs e GIDs para novos usuários, hosts e grupos. As faixas de ID são usadas para evitar conflitos de números de ID. Há dois tipos distintos de faixas de ID no IdM:

  • IdM ID range

    Use esta faixa de ID para definir as UIDs e GIDs para usuários e grupos em toda a topologia da IdM. A instalação do primeiro mestre IdM cria a faixa de ID do IdM. Não é possível modificar o intervalo de ID do IdM após criá-lo. Entretanto, você pode criar uma faixa de IDM adicional, por exemplo, quando a faixa original estiver próxima do esgotamento.

  • Distributed Numeric Assignment (DNA) ID range

    Use esta faixa de ID para definir os UIDs e GIDs que uma réplica usa ao criar novos usuários. Adicionar uma nova entrada de usuário ou host a uma réplica IdM pela primeira vez atribui uma faixa de ID de DNA a essa réplica. Um administrador pode modificar a faixa de ID de DNA, mas a nova definição deve caber dentro de uma faixa de ID de IdM existente.

    Observe que a faixa IdM e a faixa de DNA correspondem, mas não estão interligadas. Se você mudar um intervalo, certifique-se de mudar o outro para coincidir.

Para mais informações, consulte as faixas de identificação.

Vistas de identificação

As visualizações de ID permitem especificar novos valores para os atributos do usuário ou grupo POSIX, e definir em qual cliente hospedar ou hospedar os novos valores serão aplicados. Por exemplo, você pode usar as visões de ID para:

  • Definir diferentes valores de atributos para diferentes ambientes.
  • Substituir um valor de atributo gerado anteriormente por um valor diferente.

Em uma configuração de confiança IdM-AD, o Default Trust View é uma visão de ID aplicada a usuários e grupos AD. Usando o Default Trust View, você pode definir atributos POSIX personalizados para usuários e grupos de AD, anulando assim os valores definidos no AD.

Para mais informações, consulte Utilizando uma visualização de ID para anular um valor de atributo de usuário em um cliente IdM.

Servidor IdM CA

Um servidor IdM no qual está instalado e funcionando o serviço da Autoridade de Certificação IdM (CA).

Nomes alternativos CA server

Implantação da IdM

Um termo que se refere à totalidade de sua instalação IdM. Você pode descrever sua implantação do IdM respondendo as seguintes perguntas:

  • Sua implantação de IdM é uma implantação de teste ou de produção?

    • Quantos servidores IdM você tem?

  • Sua implantação de IdM contém uma CA integrada?

    • Se sim, o CA integrado é autoassinado ou assinado externamente?
    • Se sim, em que servidores está disponível o papel de CA? Em quais servidores o papel da KRA está disponível?

  • Sua implantação de IdM contém um DNS integrado?

    • Se sim, em quais servidores o papel do DNS está disponível?

  • Sua implantação de IdM está em um acordo de confiança com uma floresta AD?

IdM mestre e réplicas

O primeiro servidor instalado usando o comando ipa-server-install, usado para criar o domínio IdM, é conhecido como o master server ou IdM master.

Os administradores podem usar o comando ipa-replica-install para instalar replicas, além do mestre. Por padrão, a instalação de uma réplica cria um acordo de replicação com o servidor IdM a partir do qual ela foi criada, permitindo receber e enviar atualizações para o resto da IdM.

Não há diferença funcional entre um mestre e uma réplica. Ambos são servidores IdM totalmente funcionais.

Nomes alternativos: master, master server, IdM master server

Servidor principal do IdM CA

Se sua topologia IdM contém uma autoridade de certificação integrada (CA), um servidor tem o papel de mestre de geração da lista de revogação de certificados (CRL ) e o mestre de renovação da CA. Este servidor é o master CA server. Em uma implantação sem CA integrada, não há um servidor CA mestre.

Nomes alternativos master CA

Importante

IdM master e master CA server são dois termos diferentes. Por exemplo, no cenário de implantação a seguir, o primeiro servidor é o mestre da IdM e a réplica é o servidor mestre da CA:

  1. Você instala o primeiro servidor IdM em seu ambiente sem CA integrada.
  2. Você instala uma réplica.
  3. Você instala um CA na réplica.

Neste cenário, o primeiro servidor é o master IdM e a réplica é o servidor CA master.

Topologia IdM
Um termo que se refere à estrutura de sua solução IdM, especialmente os acordos de replicação entre e dentro de centros de dados e clusters individuais.
Indicadores de autenticação Kerberos

Os indicadores de autenticação são anexados aos bilhetes Kerberos e representam o método de autenticação inicial utilizado para adquirir um bilhete:

  • otp para autenticação de dois fatores (senha One-Time Password)
  • radius para autenticação Remote Authentication Dial-In User Service (RADIUS) (comumente para autenticação 802.1x)
  • pkinit para criptografia de chave pública para autenticação inicial em Kerberos (PKINIT), smart card, ou autenticação de certificado
  • hardened para senhas endurecidas contra tentativas de força bruta

Para mais informações, consulte os indicadores de autenticação Kerberos.

Kerberos keytab

Enquanto uma senha é o método padrão de autenticação para um usuário, as fitas-chave são o método padrão de autenticação para hosts e serviços. Uma chave Kerberos keytab é um arquivo que contém uma lista dos principais Kerberos e suas chaves de criptografia associadas, de modo que um serviço pode recuperar sua própria chave Kerberos e verificar a identidade de um usuário.

Por exemplo, cada cliente IdM tem um arquivo /etc/krb5.keytab que armazena informações sobre o principal host, que representa a máquina cliente no reino de Kerberos.

Kerberos principal

Os diretores exclusivos da Kerberos identificam cada usuário, serviço e hospedeiro em um reino Kerberos:

EntidadeConvenção de nomenclaturaExemplo

Usuários

identifier@REALM

admin@EXAMPLE.COM

Serviços

service/fully-qualified-hostname@REALM

http/master.example.com@EXAMPLE.COM

Anfitriões

host/fully-qualified-hostname@REALM

host/client.example.com@EXAMPLE.COM

Protocolo Kerberos
Kerberos é um protocolo de autenticação de rede que fornece autenticação forte para aplicações cliente e servidor, utilizando criptografia de chave secreta. IdM e Active Directory usam Kerberos para autenticação de usuários, hosts e serviços.
Reino de Kerberos
Um reino Kerberos abrange todos os principais administrados por um Centro de Distribuição de Chaves Kerberos (KDC). Em uma implantação IdM, o reino Kerberos inclui todos os usuários, hosts e serviços da IdM.
Políticas de bilhetes Kerberos
O Kerberos Key Distribution Center (KDC) reforça o controle de acesso aos bilhetes através de políticas de conexão, e gerencia a duração dos bilhetes Kerberos através de políticas de ciclo de vida dos bilhetes. Por exemplo, a duração padrão global do bilhete é de um dia, e a idade máxima de renovação padrão global é de uma semana. Para mais informações, consulte os tipos de políticas de bilhetes da IdM Kerberos.
Centro de Distribuição de Chaves (KDC)

O Kerberos Key Distribution Center (KDC) é um serviço que atua como a autoridade central e confiável que gerencia as informações de credenciais Kerberos. O KDC emite bilhetes Kerberos e garante a autenticidade dos dados provenientes de entidades dentro da rede IdM.

Para mais informações, veja O papel da IdM KDC.

Sub-CA leve

Na IdM, uma sub-CA leve é uma autoridade certificadora (AC) cujo certificado é assinado por uma AC raiz da IdM ou uma das ACs que lhe estão subordinadas. Uma sub-CA leve emite certificados somente para uma finalidade específica, por exemplo, para assegurar uma conexão VPN ou HTTP.

Para mais informações, consulte Restringindo um pedido para confiar apenas um subconjunto de certificados.

Política de senhas

Uma política de senha é um conjunto de condições que as senhas de um determinado grupo de usuários da IdM devem cumprir. As condições podem incluir os seguintes parâmetros:

  • O comprimento da senha
  • O número de classes de caracteres utilizados
  • A vida útil máxima de uma senha.

Para mais informações, veja O que é uma política de senha.

Atributos POSIX

Os atributos POSIX são atributos do usuário para manter a compatibilidade entre os sistemas operacionais.

Em um ambiente de Gerenciamento de Identidade da Red Hat, os atributos POSIX para os usuários incluem:

  • cn, o nome do usuário
  • uid, o nome da conta (login)
  • uidNumber, um número de usuário (UID)
  • gidNumber, o número do grupo primário (GID)
  • homeDirectory, o diretório pessoal do usuário

Em um ambiente de Gerenciamento de Identidade da Red Hat, os atributos POSIX para grupos incluem:

  • cn, o nome do grupo
  • gidNumber, o número do grupo (GID)

Esses atributos identificam usuários e grupos como entidades separadas.

Acordo de replicação

Um acordo de replicação é um acordo entre dois servidores IdM na mesma implantação da IdM. O acordo de replicação garante que os dados e a configuração sejam continuamente replicados entre os dois servidores.

IdM usa dois tipos de acordos de replicação: domain replication acordos, que replicam informações de identidade, e certificate replication acordos, que replicam informações de certificado.

Para mais informações, veja:

Cartão inteligente
Um cartão inteligente é um dispositivo removível ou cartão usado para controlar o acesso a um recurso. Eles podem ser cartões plásticos do tamanho de um cartão de crédito com um chip de circuito integrado (IC) incorporado, pequenos dispositivos USB como um Yubikey, ou outros dispositivos similares. Os Cartões Smart Card podem fornecer autenticação permitindo aos usuários conectar um Cartão Smart Card a um computador host, e o software nesse computador host interage com o material chave armazenado no Cartão Smart Card para autenticar o usuário.
SSSD
O System Security Services Daemon (SSSD) é um serviço de sistema que gerencia a autenticação do usuário e a autorização do usuário em um host RHEL. O SSSD opcionalmente mantém um cache de identidades e credenciais de usuários recuperadas de provedores remotos para autenticação offline. Para mais informações, consulte Entendendo o SSSD e seus benefícios.
Backend SSSD
Um backend SSSD, freqüentemente também chamado de provedor de dados, é um processo SSSD infantil que gerencia e cria o cache SSSD. Este processo se comunica com um servidor LDAP, realiza diferentes consultas de busca e armazena os resultados no cache. Ele também realiza autenticação on-line contra LDAP ou Kerberos e aplica a política de acesso e senha para o usuário que está fazendo o login.
Ticket-granting ticket (TGT)

Após a autenticação em um Centro de Distribuição de Chaves Kerberos (KDC), um usuário recebe um ticket de concessão de ingressos (TGT), que é um conjunto temporário de credenciais que pode ser usado para solicitar ingressos de acesso a outros serviços, tais como websites e e-mail.

O uso de um TGT para solicitar acesso adicional proporciona ao usuário uma experiência de Single Sign-On, já que o usuário só precisa se autenticar uma vez para poder acessar vários serviços. Os TGTs são renováveis, e as políticas de bilhetes Kerberos determinam os limites de renovação de bilhetes e controle de acesso.

Para mais informações, consulte as políticas de bilhetes da Kerberos Managing Kerberos.

Glossários adicionais

Se você não conseguir encontrar um termo de Gerenciamento de Identidade neste glossário, consulte os glossários do Servidor de Diretório e do Sistema de Certificados: