Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
27.3. 在 IdM 中配置 PKINIT
如果您的 IdM 服务器在禁用 PKINIT 的情况下运行,请使用以下步骤启用它。例如,如果您使用
ipa-server-install
或 ipa-replica-install
工具传递 --no-pkinit
选项,则禁用 PKINIT 的服务器。
先决条件
- 确保所有安装了证书颁发机构(CA)的 IdM 服务器都在同一域级别运行。详情请查看 第 7 章 显示和提升域级别。
步骤
- 如果您在没有 CA 的情况下使用 IdM,请使用 ipa-server-certinstall 工具安装外部 Kerberos 密钥分发中心(KDC)证书。KDC 证书必须满足以下条件:
- 它使用通用名称
CN=fully_qualified_domain_name,certificate_subject_base
发布。 - 它包括 Kerberos 主体
krbtgt/REALM_NAME@REALM_NAME
。 - 它包含用于 KDC 验证的对象标识符(OID):
1.3.6.1.5.2.3.5
.
# ipa-server-certinstall --kdc kdc.pem # systemctl restart krb5kdc.service
详情请查看 ipa-server-certinstall(1) man page。 - 启用 PKINIT:
$ ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successful
如果您使用 IdM CA,命令会从 CA 请求 PKINIT KDC 证书。 - 要验证新的 PKINIT 状态,请参阅 第 27.2 节 “显示当前 PKINIT 配置”。