Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
23.6. 使用智能卡验证身份管理 Web UI
作为在身份管理服务器中拥有多个角色帐户的 Identity Management 用户,您可以使用智能卡作为所选角色与身份管理 Web UI 进行身份验证。这可让您将 Web UI 用作所选角色。
注意
只有身份管理用户才能使用智能卡登录 Web UI。Active Directory 用户可以使用其用户名和密码登录。详情请查看 第 5.4.2.4 节 “以 AD 用户身份向 IdM Web UI 进行身份验证”。
有关配置环境以启用身份验证的详情,请参考:
有关如何验证的详情请参考:
23.6.1. 在 Web UI 中为智能卡身份验证准备身份管理服务器
作为身份管理管理员:
- 在身份管理服务器上,创建 shell 脚本来配置服务器。
- 使用 ipa-advise config-server-for-smart-card-auth 命令,并将其输出保存到文件中:
# ipa-advise config-server-for-smart-card-auth > server_smart_card_script.sh - 打开 脚本文件,并检查其内容。
- 使用
chmod实用程序为文件添加执行权限:# chmod +x server_smart_card_script.sh
- 在 Identity Management 域中的所有服务器上运行 脚本。
- 确保已安装 sssd-dbus 软件包。
另外,如果外部证书颁发机构(CA)签署了智能卡中的证书:
- 在身份管理服务器中,将 CA 证书添加到 HTTP 服务器使用的 NSS 数据库中:
# ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem # ipa-certupdate
在所有副本和客户端上重复ipa-certupdate。 - 重启 HTTP 服务器和 Kerberos 服务器:
# systemctl restart httpd # systemctl restart krb5kdc
对所有副本重复这些命令。
23.6.2. 为智能卡身份验证准备浏览器
要配置浏览器以进行智能卡身份验证,请在用户启动 Web 浏览器以访问 Web UI 的客户端上执行这些步骤。浏览器所在的系统不需要是身份管理域的一部分。在此流程中,我们使用 Firefox 浏览器。
- 启动 Firefox。
- 将 Firefox 配置为从智能卡读取证书。
- 选择 → → → →
图 23.16. 在 Firefox 中配置安全设备
- 单击 。在 Load PKCS the Device 窗口中填写以下信息:
- 模块名称 :
OpenSC - 模块文件名 :
/usr/lib64/opensc-pkcs11.so
图 23.17. Firefox 中的设备管理器
- 点 确认。然后单击 以关闭设备管理器。
Firefox 现在可以使用智能卡证书进行验证。
23.6.3. 以身份管理用户身份使用智能卡向身份管理 Web UI 进行身份验证
验证:
- 将智能卡插入到智能卡读取器中。
- 在浏览器中,导航到位于
https://ipaserver.example.com/ipa/ui的 Identity Management Web UI。 - 如果智能卡证书链接到一个用户帐户,请不要填写 Username 字段。如果智能卡证书链接到多个用户帐户,请填写 Username 字段来指定所需的帐户。
- 单击 "
图 23.18. 在身份管理 Web UI
- 提示时输入智能卡 PIN。
图 23.19. 输入智能卡 PIN
- 此时会打开一个新窗口,建议使用证书。选择智能卡证书。
图 23.20. 选择智能卡证书
您现在作为与智能卡证书对应的用户进行身份验证。
注意
如果管理员重置用户的密码,IdM Web UI 会拒绝访问,直到用户设置新密码,例如,使用 kinit 实用程序。
其它资源
- 如果身份验证失败,请参阅 第 A.4 节 “调查智能卡身份验证失败”。
23.6.4. 其它资源
- 有关身份管理 Web UI 的详情,请参考 第 5.4 节 “The IdM Web UI”。
