Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
5.3.2.2. 需要 Kerberos 单点登录 IdM 客户端
如果您需要 Kerberos 单点登录才能访问 IdM 客户端上的资源,客户端必须位于 IdM DNS 域中,如
idm-client.idm.example.com。您必须在 ActiveActive Directorynbsp 中创建 CNAME 记录 idm-client.ad.example.com ;Directory DNS 域指向 IdM 客户端的 A/AAAA 记录。
对于基于 Kerberos 的应用程序服务器,MIT Kerberos 支持一种方法,允许接受应用的 key 选项卡中任何基于主机的主体。要禁用对将 Kerberos 主体作为 Kerberos 服务器的目标的严格检查,请在
/etc/krb5.conf 配置文件的 [libdefaults] 部分中设置以下选项:
ignore_acceptor_hostname = true
处理 SSL 证书
基于 SSL 的服务需要一个包含所有系统主机名的 dNSName 扩展记录的证书,因为证书中必须同时存在原始(A/AAAA)和 CNAME 记录。目前,IdM 只发布证书来托管 IdM 数据库中的对象。
在没有可用单点登录的设置中,IdM 在数据库中已具有 FQDN
的主机对象,certmonger 可以为此名称请求证书 :
- 创建新主机对象:
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
使用--force选项,因为主机名是 CNAME,而不是 A/AAAA 记录。 - 允许 IdM DNS 主机名管理 IdM 数据库中的 ActiveActive Directorynbsp;Directory 主机条目:
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
通过这个设置,IdM 客户端可以在 ActiveActive Directorynbsp 中为其主机名请求带有 dNSName 扩展记录的 SSL 证书;Directory DNS 域:
[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
-f /etc/httpd/alias/server.crt \
-k /etc/httpd/alias/server.key \
-N CN=`hostname --fqdn` \
-D `hostname --fqdn` \
-D idm-client.ad.example.com \
-K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
-U id-kp-serverAuth