Red Hat Training

A Red Hat training course is available for RHEL 8

37.2.2. IdM 主机和用户的注册和身份验证:比较

IdM 中的用户和主机之间存在许多相似性。本节介绍了注册阶段中可以看到的一些相似点,以及部署阶段中涉及身份验证的部分相似点。

  • 注册阶段(表 37.1 “用户和主机注册”):

    • 管理员可以在用户或主机实际加入 IdM: 之前为用户和主机创建 LDAP 条目,该命令是 ipa stageuser-add ;对于主机,命令为 ipa host-add
    • 在主机上执行 ipa-client-install 命令期间会创建一个包含 密钥表 或缩写、keytab、对称密钥(重装为一定程度的用户密码)的文件,从而在主机上执行 ipa-client-install 命令时创建该文件,从而让主机加入 IdM 域。类似地,用户在激活其帐户时需要创建密码,从而加入 IdM 域。
    • 虽然用户密码是用户的默认身份验证方法,但 keytab 是主机的默认身份验证方法。keytab 存储在主机上的文件中。

    表 37.1. 用户和主机注册

    操作用户主机

    预注册

    $ IPA stageuser-add user_name [--password]

    $ ipa host-add host_name [--random]

    激活帐户

    $ ipa stageuser-activate user_name

    $ ipa-client install [--password] (必须在主机本身上运行)

  • 部署阶段(表 37.2 “用户和主机会话身份验证”):

    • 当用户启动新会话时,用户使用密码进行身份验证;类似地,每次打开密码时,主机都会通过显示其 keytab 文件进行身份验证。系统安全服务守护进程(SSSD)在后台管理此过程。
    • 如果身份验证成功,用户或主机会获得 Kerberos 票据授予票据(TGT)。
    • 然后,使用 TGT 获取特定服务的特定票据。

    表 37.2. 用户和主机会话身份验证

     用户主机

    默认身份验证方式

    密码

    keytabs

    启动会话(普通用户)

    $ kinit user_name

    [交换机在主机上]

    身份验证成功的结果

    用于获取特定服务访问权限的 TGT

    用于获取特定服务访问权限的 TGT

TGT 和其他 Kerberos 票据作为服务器定义的 Kerberos 服务和策略的一部分生成。IdM 服务会自动授予 Kerberos ticket、更新 Kerberos 凭证甚至销毁 Kerberos 会话。