Red Hat Training

A Red Hat training course is available for RHEL 8

第 54 章 使用存储在 IdM 客户端桌面的证书配置身份验证

通过配置身份管理(IdM),IdM 系统管理员可以使用向用户签发的证书颁发机构(CA)的证书,使用户能够向 IdM Web UI 和命令行界面(CLI)进行身份验证。

Web 浏览器可以在不属于 IdM 域的系统中运行。

此用户故事提供了如何有效地配置和测试身份管理 Web UI 和 CLI 中的日志记录以及 IdM 客户端桌面上存储的证书的说明。在此用户故事中,

注意

只有身份管理用户可以使用证书登录 Web UI。Active Directory 用户可使用其用户名和密码登录。

54.1. 在 Web UI 中配置身份管理服务器以进行证书身份验证

作为身份管理(IdM)管理员,您可以允许用户使用证书为您的 IdM 环境进行身份验证。

流程

作为身份管理管理员:

  1. 在身份管理服务器上,获取管理员特权并创建 shell 脚本来配置服务器。

    1. 运行 ipa-advise config-server-for-smart-card-auth 命令,并将其输出保存到文件中,如 server_certificate_script.sh

      # kinit admin
      # ipa-advise config-server-for-smart-card-auth > server_certificate_script.sh
    2. 使用 chmod 实用程序为文件添加执行权限:

      # chmod +x server_certificate_script.sh
  2. 在 Identity Management 域中的所有服务器上,运行 server_certificate_script.sh 脚本

    1. 使用 IdM 证书颁发机构证书的路径 /etc/ipa/ca.crt,因为如果 IdM CA 是唯一签发了您要为其启用证书验证的用户证书的证书颁发机构:

      # ./server_certificate_script.sh /etc/ipa/ca.crt
    2. 如果不同的外部 CA 签署您想要为其启用证书验证的用户证书,则使用路径作为输入:

      # ./server_certificate_script.sh /tmp/ca1.pem /tmp/ca2.pem
注意

如果要为整个拓扑中启用用户的证书身份验证,请不要忘记在将来添加到系统的每个新副本上运行 脚本。