Red Hat Training

A Red Hat training course is available for RHEL 8

41.4.2. 将身份验证指示符与 IdM 服务关联

这个步骤描述了将服务配置为需要来自传入的服务票据请求的特定 Kerberos 验证指示。

先决条件

警告

不要为内部 IdM 服务分配身份验证指示符。以下 IdM 服务无法执行 PKINIT 和多因素验证方法所需的交互式身份验证步骤:

host/server.example.com@EXAMPLE.COM
HTTP/server.example.com@EXAMPLE.COM
ldap/server.example.com@EXAMPLE.COM
DNS/server.example.com@EXAMPLE.COM
cifs/server.example.com@EXAMPLE.COM

流程

  • 使用 ipa service-mod 命令为服务指定一个或多个通过 --auth-ind 参数标识的服务所需的验证指示符。

    验证方法--auth-ind

    双因素验证

    oTP

    RADIUS 身份验证

    radius

    PKINIT、智能卡或证书验证

    PKINIT

    强化密码(SPAKE 或 FAST)

    hardened

    例如,要求用户使用智能卡或 OTP 身份验证验证用户,以检索主机 client.example.comtestservice 主体的服务票据:

    [root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit
    -------------------------------------------------------------
    Modified service "testservice/client.example.com@EXAMPLE.COM"
    -------------------------------------------------------------
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Managed by: client.example.com
注意

要从服务中删除所有验证指标,请提供空的指标列表:

[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com

验证步骤

  • 使用 ipa service-show 命令显示 IdM 服务的信息,包括其所需的身份验证指示符。

    [root@server ~]# ipa service-show testservice/client.example.com
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Authentication Indicators: otp, pkinit
      Keytab: True
      Managed by: client.example.com