Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 27 章 IdM 中的 Kerberos PKINIT 身份验证
Kerberos(PKINIT)中用于初始身份验证的公钥加密是 Kerberos 的预验证机制。从 Red Hat Enterprise Linux 7.4 开始,身份管理(IdM)服务器包括 Kerberos PKINIT 身份验证的机制。以下小节概述了 IdM 中的 PKINIT 实施,并描述了如何在 IdM 中配置 PKINIT。
27.1. 不同 IdM 版本中的默认 PKINIT 状态
IdM 服务器上的默认 PKINIT 配置取决于 Red Hat Enterprise Linux (RHEL)和证书颁发机构(CA)配置中 IdM 的版本。请参阅 表 27.1 “IdM 版本中的默认 PKINIT 配置”。
表 27.1. IdM 版本中的默认 PKINIT 配置
| RHEL 版本 | CA 配置 | PKINIT 配置 |
|---|---|---|
| 7.3 及更早版本 | 没有 CA | 本地 PKINIT:IdM 仅将 PKINIT 用于服务器上的内部目的。 |
| 7.3 及更早版本 | 带有集成 CA |
IdM 会尝试使用集成 IdM CA 签名的证书来配置 PKINIT。
如果尝试失败,则 IdM 仅配置本地 PKINIT。
|
| 7.4 及更新的版本 |
没有 CA
没有提供给 IdM 的外部 PKINIT 证书
| 本地 PKINIT:IdM 仅将 PKINIT 用于服务器上的内部目的。 |
| 7.4 及更新的版本 |
没有 CA
为 IdM 提供的外部 PKINIT 证书
| IdM 使用外部 Kerberos 密钥分发中心(KDC)证书和 CA 证书来配置 PKINIT。 |
| 7.4 及更新的版本 | 带有集成 CA | IdM 使用 IdM CA 签名的证书来配置 PKINIT。 |
在域级别 0 上,PKINIT 被禁用。默认行为是本地 PKINIT:IdM 仅将 PKINIT 用于服务器上的内部目的。另请参阅 第 7 章 显示和提升域级别。
