Red Hat Training

A Red Hat training course is available for RHEL 8

第 41 章 管理 Kerberos ticket 策略

Identity Management(IdM)中的 Kerberos 票据策略对 Kerberos ticket 访问、持续时间和续订设置了限制。您可以为 IdM 服务器上运行的密钥分发中心(KDC)配置 Kerberos ticket 策略。

本章介绍以下 Kerberos 票据管理主题和任务:

41.1. IdM KDC 的角色

身份管理的身份验证机制使用由密钥分发中心(KDC)构建的 Kerberos 基础架构。KDC 是可信赖的权威,用于存储凭证信息并确保来自 IdM 网络内实体的数据的真实性。

每个 IdM 用户、服务和主机都充当 Kerberos 客户端,由唯一的 Kerberos 主体识别

  • 用户: 标识符@REALM,如 admin@EXAMPLE.COM
  • 对于 服务:service/fully-qualified-hostname@REALM,如 http/server.example.com@EXAMPLE.COM
  • 对于主机: host/fully-qualified-hostname@REALM,如 host/client.example.com@EXAMPLE.COM

下图是对 Kerberos 客户端、KDC 和客户端希望与之通信的 Kerberized 应用之间的通信进行简化。

Kerberos KDC 通信流
  1. Kerberos 客户端通过身份验证作为 Kerberos 主体向 KDC 识别其自身。例如,IdM 用户执行 kinit 用户名 并提供其密码。
  2. KDC 会检查数据库中的主体,验证客户端,并评估 Kerberos ticket 策略来确定是否授予请求
  3. KDC 根据适当的票据策略,使用生命周期和验证指示器向客户端签发一个票据获取票据 (TGT)。
  4. 使用 TGT 时,客户端从 KDC 请求服务票据,以便与目标主机上的 Kerberized 服务通信。
  5. KDC 检查客户端的 TGT 是否仍然有效,并根据票据策略评估服务票据请求。
  6. KDC 向客户端发出服务票据
  7. 通过服务票据,客户端可以在目标主机上启动与 服务加密的通信。