Red Hat Training

A Red Hat training course is available for RHEL 8

1.3. 为 Kerberos 身份验证配置外部系统

按照以下流程配置外部系统,以便身份管理(IdM)用户可以使用他们的 Kerberos 凭证从外部系统登录到 IdM。

当您的基础架构包含多个域或重叠域时,在外部系统上启用 Kerberos 身份验证非常有用。如果系统尚未通过 ipa-client-install 注册到任何 IdM 域,它也很有用。

要从不属于 IdM 域成员的系统启用对 IdM 的 Kerberos 身份验证,请在外部系统上定义特定于 IdM 的 Kerberos 配置文件。

先决条件

  • krb5-workstation 软件包已安装在外部系统上。

    要查找是否安装了该软件包,请使用以下 CLI 命令:

    # yum list installed krb5-workstation
    Installed Packages
    krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS

流程

  1. /etc/krb5.conf 文件从 IdM 服务器复制到外部系统。例如:

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    警告

    不要覆盖外部系统上现有的 krb5.conf 文件。

  2. 在外部系统上,将终端会话设置为使用复制的 IdM Kerberos 配置文件:

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf

    KRB5_CONFIG 变量仅在退出之前暂时存在。要防止其丢失,请使用其他文件名导出变量。

  3. 将 Kerberos 配置代码段从 /etc/krb5.conf.d/ 目录复制到外部系统。

外部系统上的用户现在可以使用 kinit 工具对 IdM 服务器进行身份验证。