Red Hat Training

A Red Hat training course is available for RHEL 8

51.2. 为智能卡验证配置 IdM 客户端

这部分论述了如何为智能卡验证配置 IdM 客户端。这个过程需要在每个 IdM 系统、客户端或服务器中运行,您希望在使用智能卡进行身份验证时连接到这些系统。例如,若要启用从主机 A 到主机 B 的 ssh 连接,需要在主机 B 上运行 脚本。

作为管理员,运行这个步骤来启用智能卡验证

向 IdM Web UI 进行身份验证时不需要这个过程。对 IdM Web UI 进行身份验证涉及两个主机,它们都需要是 IdM 客户端:

  • 此机器可能位于运行浏览器的 IdM 域之外
  • 运行 httpd 的 IdM 服务器

以下流程假设您在 IdM 客户端而不是 IdM 服务器中配置智能卡验证。因此,您需要两台计算机:IdM 服务器生成配置脚本,以及运行该脚本的 IdM 客户端。

先决条件

流程

  1. 在 IdM 服务器上,使用管理员的权限生成带有 ipa-advise 的配置脚本:

    [root@server SmartCard]# kinit admin
    [root@server SmartCard]# ipa-advise config-client-for-smart-card-auth > config-client-for-smart-card-auth.sh

    config-client-for-smart-card-auth.sh 脚本执行以下操作:

    • 它配置智能卡守护进程。
    • 它设置系统范围信任存储。
    • 它将系统安全服务守护进程(SSSD)配置为允许智能卡登录桌面。
  2. 从 IdM 服务器中,将脚本复制到 IdM 客户端机器中选择的目录中:

    [root@server SmartCard]# scp config-client-for-smart-card-auth.sh root@client.idm.example.com:/root/SmartCard/
    Password:
    config-client-for-smart-card-auth.sh        100%   2419       3.5MB/s   00:00
  3. 在 IdM 服务器中,将 PEM 格式的 CA 证书文件复制到 IdM 客户端机器上与上一步中使用的同一目录中:

    [root@server SmartCard]# scp {smartcard_ca.pem,ca.crt} root@client.idm.example.com:/root/SmartCard/
    Password:
    smartcard_ca.pem                    100%   1237     9.6KB/s   00:00
    ca.crt                              100%   2514    19.6KB/s   00:00
  4. 在客户端机器上执行 脚本,将包含 CA 证书的 PEM 文件添加为参数:

    [root@client SmartCard]# kinit admin
    [root@client SmartCard]# chmod +x config-client-for-smart-card-auth.sh
    [root@client SmartCard]# ./config-client-for-smart-card-auth.sh smartcard_ca.pem ca.crt
    Ticket cache:KEYRING:persistent:0:0
    Default principal: admin@IDM.EXAMPLE.COM
    [...]
    Systemwide CA database updated.
    The ipa-certupdate command was successful
    注意

    在任何子 CA 证书前,确保将 root CA 的证书添加为参数,并且 CA 或子 CA 证书还没有过期。

现在为智能卡验证配置了客户端。