Red Hat Training

A Red Hat training course is available for RHEL 8

6.5. 为 Kerberos 身份验证配置外部系统

本节论述了如何配置外部系统,以便身份管理(IdM)用户可以使用 Kerberos 凭证从外部系统登录 IdM。

当您的基础架构包含多个域或重叠域时,在外部系统中启用 Kerberos 身份验证特别有用。如果系统尚未通过 ipa-client-install 注册任何 IdM 域,它也很有用。

要从不属于 IdM 域成员的系统启用对 IdM 的 Kerberos 身份验证,请在外部系统中定义特定于 IdM 的 Kerberos 配置文件。

先决条件

  • krb5-workstation 软件包安装在外部系统上。

    要查找是否安装了该软件包,请使用以下 CLI 命令:

    # yum list installed krb5-workstation
    Installed Packages
    krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS

流程

  1. /etc/krb5.conf 文件从 IdM 服务器复制到外部系统。例如:

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    警告

    不要覆盖外部系统上的现有 krb5.conf 文件。

  2. 在外部系统中,将终端会话设置为使用复制的 IdM Kerberos 配置文件:

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf

    KRB5_CONFIG 变量仅临时存在,直到您注销为止。要防止此丢失,请使用其他文件名导出 变量。

  3. 将 Kerberos 配置代码段从 /etc/krb5.conf.d/ 目录复制到外部系统。
  4. 在外部系统中配置浏览器,如 第 6.3 节 “为 Kerberos 身份验证配置浏览器” 所述。

外部系统中的用户现在可以使用 kinit 工具对 IdM 服务器进行身份验证。