Red Hat Training

A Red Hat training course is available for RHEL 8

46.3. 使用证书验证 IdM 中用户的优缺点

在 IdM 中使用证书验证用户的优点包括:

  • 与常规密码相比,智能卡上保护私钥的 PIN 通常简单、更容易记住。
  • 根据设备,无法导出保存在智能卡上的私钥。这提供了额外的安全性。
  • 智能卡可以自动注销: IdM 可以配置为在用户从读取器中删除智能卡时注销用户。
  • 窃取私钥需要实际访问智能卡,这样可以防止智能卡遭受攻击。
  • 智能卡验证是一个双因素验证示例:它要求您具有的内容(卡)和您已知的内容(PIN)。
  • 智能卡比密码更灵活,因为它们提供可用于其他用途的密钥,如加密电子邮件。
  • 在作为 IdM 客户端的共享机器上使用智能卡不会给系统管理员带来额外的配置问题。事实上,智能卡验证是共享机器的理想选择。

在 IdM 中使用证书验证用户缺点包括:

  • 用户可能会丢失或忘记携带其智能卡或证书并有效锁定。
  • 多次 Mistyping a PIN 可能会导致卡被锁定。
  • 通常,某些安全官或批准人请求与授权之间有一个中间步骤。在 IdM 中,安全官或管理员必须运行 ipa cert-request 命令。
  • 智能卡和读取器往往属于供应商和驱动程序:虽然许多读取器可用于不同的卡片,但特定供应商的智能卡可能无法在另一供应商的读者或不是为其设计读取器的类型工作。
  • 证书和智能卡的管理员学习起来比较困难。