Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
1.2. Identity Management Domain
身份管理(IdM)域由共享相同配置、策略和身份存储的一组计算机组成。共享属性允许域中的计算机互相了解并共同操作。
从 IdM 的角度来看,域包括以下类型的机器:
- 作为域控制器的 IdM 服务器
- IdM 客户端,它们注册到服务器中
IdM 服务器也是注册到其自身的 IdM 客户端:服务器计算机提供与客户端相同的功能。
IdM 支持 Red Hat Enterprise Linux 机器作为 IdM 服务器和客户端。
注意
本指南描述了在 Linux 环境中使用 IdM。有关与 Active Directory 集成的更多信息,请参阅《 Windows 集成指南 》。
1.2.1. 身份管理服务器
IdM 服务器充当身份和策略信息的中央存储库。它们也托管域成员使用的服务。IdM 提供了一组管理工具来集中管理所有 IdM 关联服务:IdM Web UI 和命令行工具。
有关安装 IdM 服务器的详情请参考 第 2 章 安装和卸载身份管理服务器。
为了支持冗余和负载平衡,数据和配置可以从 IdM 服务器复制到另一个 IdM 服务器:初始服务器 的副本。您可以配置服务器及其副本,以便为客户端提供不同的服务。有关 IdM 副本的详情,请参考 第 4 章 安装和卸载身份管理副本。
1.2.1.1. IdM 服务器托管的服务
以下大多数服务并没严格要求安装到 IdM 服务器上。例如,可以在 IdM 域外的外部服务器上安装证书认证机构(CA)、DNS 服务器或网络时间协议(NTP)服务器等服务。
- Kerberos:
krb5kdc和kadmin - IdM 使用 Kerberos 协议来支持单点登录。使用 Kerberos ,用户只需提供一次正确的用户名和密码,就可以访问 IdM 服务,而系统不需要再次提示输入凭证。
- Kerberos 分为两个部分:
krb5kdc服务是 Kerberos 身份验证服务和密钥分发中心(KDC)守护进程。kadmin服务是 Kerberos 数据库管理程序。
有关 Kerberos 的工作原理,请参阅 系统级身份验证指南中的 使用 Kerberos。 - 有关如何在 IdM 中使用 Kerberos 进行身份验证的详情请参考 第 5.2 节 “使用 Kerberos 登录 IdM”。
- 有关在 IdM 中管理 Kerberos 的详情请参考 第 29 章 管理 Kerberos 域。
- LDAP 目录服务器:
dirsrv - IdM 内部 LDAP 目录服务器实例 存储所有 IdM 信息,如与 Kerberos、用户帐户、主机条目、服务、策略等相关的信息。LDAP 目录服务器实例基于 与红帽目录服务器 相同的技术。但是,它被调优为特定于 IdM 的任务。注意本指南将这个组件称为 Directory Server。
- 证书颁发机构:
pki-tomcatd - 有关使用不同 CA 配置安装 IdM 服务器的详情,请参考 第 2.3.2 节 “确定要使用的 CA 配置”。
注意本指南在处理实施过程和证书认证机构时将此组件指代为证书系统,在处理实施提供的服务时作为认证机构。有关红帽认证系统(独立红帽产品)的信息,请参阅红帽认证系统的 产品文档。- 域名系统(DNS):
命名 - IdM 使用 DNS 进行动态服务发现。IdM 客户端安装工具可使用 DNS 的信息来自动配置客户端机器。客户端注册到 IdM 域后,它使用 DNS 来定位域中的 IdM 服务器和服务。Red Hat Enterprise Linux 中的 DNS (
域名系统)协议的 BIND (Berkeley 互联网名称域)实现包括命名的DNS 服务器。named-pkcs11是构建了对 PKCS the 加密标准的原生支持的BINDDNS 服务器版本。- 如需有关服务发现的更多信息,请参阅 系统级身份验证 指南中的 配置 DNS 服务发现。
- 有关 DNS 服务器的更多信息,请参阅 Red Hat Enterprise Linux 网络指南中的 BIND。
- 有关在 IdM 中使用 DNS 和重要先决条件的详情请参考 第 2.1.5 节 “主机名和 DNS 配置”。
- 有关使用或没有集成 DNS 安装 IdM 服务器的详情,请参考 第 2.3.1 节 “确定使用集成 DNS”。
- 网络时间协议:
ntpd - 许多服务要求服务器和客户端在特定差异内具有相同的系统时间。例如,Kerberos 票据使用时间戳来确定其有效期并防止重播攻击。如果服务器和客户端之间的时间偏移超出允许范围,Kerberos 票据将无效。默认情况下,IdM 使用 网络时间协议(NTP) 通过
ntpd服务通过网络同步时钟。使用 NTP 时,中央服务器充当权威时钟,客户端会同步时间以匹配服务器时钟。IdM 服务器在服务器安装过程中配置为 IdM 域的 NTP 服务器。注意在虚拟机上安装的 IdM 服务器中运行 NTP 服务器可能会导致某些环境中的时间同步不准确。为避免潜在的问题,不要在虚拟机上安装的 IdM 服务器中运行 NTP。有关虚拟机上 NTP 服务器可靠性的更多信息,请参阅 此知识库解决方案。
- Apache HTTP 服务器:
httpd - Apache HTTP Web 服务器 提供了 IdM Web UI,还管理证书颁发机构和其他 IdM 服务之间的通信。
- 如需更多信息,请参阅 系统管理员指南中的 Apache HTTP 服务器。
- Samba/ Winbind:
smb、winbind - Samba 在红帽企业 Linux 中实施服务器消息块(SMB)协议,也称为通用 Internet 文件系统(CIFS)协议。通过
smb服务,SMB 协议可让您访问服务器上的资源,如文件共享和共享打印机。如果您使用 Active Directory(AD)环境配置了信任,Winbind 服务将管理 IdM 服务器和 AD 服务器之间的通信。 - 一次性密码(OTP)身份验证:
ipa-otpd - 一次性密码(OTP) 是仅由一个会话的身份验证令牌生成的密码,作为双因素身份验证的一部分。OTP 身份验证在 Red Hat Enterprise Linux 中是通过
ipa-otpd服务实现的。- 有关 OTP 身份验证的详情请参考 第 22.3 节 “一次性密码”。
- custodia:
ipa-custodia - custodia 是 Secrets 服务提供商,它存储和共享对密码、密钥、令牌和证书等机密资料的访问。
- OpenDNSSEC:
ipa-dnskeysyncd - OpenDNSSEC 是一个 DNS 管理器,自动化了跟踪 DNS 安全扩展(DNSSEC)密钥和区域签名的过程。
ipa-dnskeysyncdservuce 管理 IdM 目录服务器和 OpenDNSSEC 之间的同步。
图 1.1. 身份管理服务器:统一服务
1.2.2. 身份管理客户端
IdM 客户端是配置为在 IdM 域中运行的机器。它们与 IdM 服务器交互以访问域资源。例如,它们属于服务器上配置的 Kerberos 域,接收服务器发布的证书和票据,并使用其他集中式服务进行身份验证和授权。
IdM 客户端不需要专用的客户端软件作为域的一部分进行交互。它只需要正确配置某些服务和库,如 Kerberos 或 DNS。此配置指示客户端机器使用 IdM 服务。
有关安装 IdM 客户端的详情请参考 第 3 章 安装和卸载身份管理客户端。
1.2.2.1. IdM 客户端托管的服务
- 系统安全服务守护进程:
sssd - 系统安全服务守护进程(SSSD) 是管理用户身份验证和缓存凭证的客户端应用。缓存可让本地系统在 IdM 服务器不可用或客户端离线时能够继续正常的身份验证操作。如需更多信息,请参阅 系统级身份验证 指南中的 配置 SSSD。SSSD 还支持 Windows Active Directory(AD)。有关在 AD 中使用 SSSD 的更多信息,请参阅 Windows 集成指南中的 将 Active Directory 用作 SSSD 的身份提供程序。
certmongercertmonger服务监控并更新客户端上的证书。它可以为系统上的服务请求新的证书。如需更多信息,请参阅 系统级身份验证指南中的 使用证书。
图 1.2. IdM 服务间的交互
