Red Hat Training

A Red Hat training course is available for RHEL 8

7.9. 以 OTP 或 RADIUS 用户身份检索 IdM ticket-granting ticket

要以 OTP 用户身份检索 Kerberos 票据授予票据(TGT),请请求匿名 Kerberos 票据,并通过 Secure Tunneling (FAST)频道启用灵活的身份验证,以便在 Kerberos 客户端和 Kerberos 分发中心(KDC)之间提供安全连接。

先决条件

  • 您的 IdM 客户端和服务器使用 RHEL 8.7 或更高版本。
  • 您的 IdM 客户端和服务器使用 SSSD 2.7.0 或更高版本。
  • 您已为所需用户帐户启用了 OTP。

流程

  1. 运行以下命令来初始化凭证缓存:

    [root@client ~]# kinit -n @IDM.EXAMPLE.COM -c FILE:armor.ccache

    请注意,这个命令会创建 armor.ccache 文件,每当您请求新的 Kerberos 票据时,您需要指向该文件。

  2. 运行以下命令来请求 Kerberos 票据:

    [root@client ~]# kinit -T FILE:armor.ccache <username>@IDM.EXAMPLE.COM
    Enter your OTP Token Value.

验证

  • 显示您的 Kerberos 票据信息:

    [root@client ~]# klist -C
    Ticket cache: KCM:0:58420
    Default principal: <username>@IDM.EXAMPLE.COM
    
    Valid starting     Expires            Service principal
    05/09/22 07:48:23  05/10/22 07:03:07  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
    config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes
    08/17/2022 20:22:45  08/18/2022 20:22:43  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
    config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 141

    pa_type = 141 表示 OTP/RADIUS 身份验证。