第 1 章 企业安全客户端简介
企业安全 客户端是 Red Hat Certificate System 的一个工具,简化了管理智能卡。最终用户可以使用安全令牌(smart 卡)来存储应用程序的用户证书,如单点登录(SSO)访问和客户端身份验证。最终用户签发令牌,其中包含签名、加密和其他加密功能所需的证书和密钥。
企业安全客户端是证书系统的完整令牌管理系统的第三部分。两个子系统 - 令牌密钥服务(TKS)和令牌处理系统(TPS)- 用于处理与令牌相关的操作。企业安全客户端是允许智能卡和用户访问令牌管理系统的接口。
注册令牌后,可将 Mozilla Firefox 和 Thunderbird 等应用程序配置为识别令牌并将其用于安全操作,如客户端身份验证和 S/MIME 邮件。企业安全客户端提供以下功能:
- 支持与全局平台兼容智能卡,如 Gemalto 64K V2 和 Safenet 300J Java 智能卡。
- 注册安全令牌,以便 TPS 识别它们。
- 维护安全令牌,如使用 TPS 重新注册令牌。
- 提供有关被管理令牌或令牌的当前状态的信息。
- 支持通过 TPS 和 DRM 子系统生成服务器端密钥,以便在令牌丢失时,可以在单独的令牌上存档并恢复密钥。
1.1. Red Hat Enterprise Linux、单点登录和身份验证
网络用户通常必须为他们使用的不同服务提交多个密码,如电子邮件、Web 浏览和服务器,以及网络上的服务器。维护多个密码并持续被提示输入它们,对于用户和管理员而言是个。单点登录 是一种配置,管理员可以创建单个密码存储,以便用户可以使用单一密码登录一次,并对所有网络资源进行身份验证。
Red Hat Enterprise Linux 支持多个资源的单点登录,包括登录工作站和解锁屏保器、使用 Mozilla Firefox 访问加密的网页,并使用 Mozilla Thunderbird 发送加密电子邮件。
单点登录对用户以及服务器和网络的其他安全层都方便。单点登录在安全有效验证方面隐藏,企业安全客户端会合并到红帽认证系统实施的公钥基础架构中。
建立安全网络环境的下角之一是确保访问权限仅限于有权访问网络的人员。如果允许访问,用户可以 向系统进行身份验证,这意味着他们可以验证其身份。一种这样的方法是显示 证书 :一个电子文档,用于标识出示的实体。
这些证书可以存储在智能卡中。当用户插入时,智能卡向系统显示证书并标识用户,以便对其进行身份验证。Red Hat Enterprise Linux 单点登录的两个验证方法之一是智能卡验证。(另一个是基于 Kerberos 的身份验证。)
使用智能卡进行单点登录通过三个步骤:
- 用户在卡读取器中插入智能卡。这由 Red Hat Enterprise Linux 上的可插拔验证模块(PAM)检测到。
- 系统将证书映射到用户条目,然后将智能卡上出示的证书与用户条目中存储的证书进行比较。
- 如果针对密钥分发中心(KDC)成功验证了证书,则允许用户登录。
企业安全客户端管理智能卡,这是管理单点登录的一部分。
