Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 12 章 管理主机

DNS 和 Kerberos 都配置为初始客户端配置的一部分。这是必要的,因为这些服务是带 IdM 域中的机器的两个服务,并允许它识别它将连接的 IdM 服务器。在初始配置后,IdM 提供了管理这些服务的工具,以响应域服务的更改、IT 环境更改或在影响 Kerberos、证书和 DNS 服务的机器上更改。
本章论述了如何管理直接与客户端机器关联的身份服务:
  • DNS 条目和设置
  • 机器验证
  • 主机名更改(影响域服务)

12.1. 关于主机、服务和机器身份和身份验证

注册过程的基本功能是为 IdM 目录中客户端计算机创建主机条目。此主机条目用于建立域中其他主机甚至服务之间的关系(如 第 1 章 红帽身份管理简介所述)。这些关系是为域中的主机委派授权和控制的一部分。
主机条目包含有关 IdM 中客户端的所有信息:
  • 与主机关联的服务条目
  • 主机和服务主体
  • 访问控制规则
  • 机器信息,如物理位置和操作系统
主机上运行的一些服务也可以属于 IdM 域。可以存储 Kerberos 主体或 SSL 证书(或两者)的任何服务都可以配置为 IdM 服务。向 IdM 域添加服务可让服务从域请求 SSL 证书或 keytab。(仅证书的公钥存储在服务记录中。私钥是该服务的本地密钥。)
IdM 域在机器之间建立通用性,具有通用身份信息、通用策略和共享服务。属于域的任何计算机充当域的客户端,这意味着它使用域所提供的服务。IdM 域为机器提供三个主要服务:
  • DNS
  • Kerberos
  • 证书管理
与用户一样,机器是由 IdM 管理的身份。客户端机器使用 DNS 来识别 IdM 服务器、服务和域成员。就像用户身份一样,它们存储在 IdM 服务器的 389 目录服务器实例中。与用户一样,计算机可以使用 Kerberos 或证书验证域。
从机器的角度来看,有几个任务可以访问这些域服务:
  • 加入 DNS 域(机器注册
  • 管理 DNS 条目和区域
  • 管理机器身份验证
IdM 中的身份验证包括机器和用户。IdM 服务器需要机器身份验证才能信任机器并接受来自该机器上安装的客户端软件的 IdM 连接。验证客户端后,IdM 服务器可以响应其请求。IdM 支持三种不同的机器身份验证方法:
  • SSH 密钥。主机的 SSH 公钥已创建并上传到主机条目。从那里,系统安全服务守护进程(SSSD)使用 IdM 作为身份提供程序,并可与 OpenSSH 和其他服务一起引用位于身份管理中的公钥。这在 第 12.5 节 “管理主机的公共 SSH 密钥” 中描述。
  • 键表(或 keytab、 对称密钥集在某种程度上用户密码)和计算机证书.Kerberos 票据作为 Kerberos 服务的一部分生成,由服务器定义的策略。最初授予 Kerberos 票据、续订 Kerberos 凭证甚至销毁 Kerberos 会话也由 IdM 服务处理。Kerberos 管理包括在 第 29 章 管理 Kerberos 域 中。
  • 计算机证书。在这种情况下,计算机使用 IdM 服务器的证书认证机构发布的 SSL 证书,然后存储在 IdM 的目录服务器中。证书然后发送到计算机,当它向服务器进行身份验证时会存在该证书。在客户端上,证书由名为 certmonger 的服务管理。