Red Hat Training

A Red Hat training course is available for RHEL 8

第 52 章 在 IdM 中使用 KDC 代理

有些管理员可能会选择使默认的 Kerberos 端口在部署中无法访问。要允许用户、主机和服务获取 Kerberos 凭据,您可以使用 HTTPS 服务作为代理,其通过 HTTPS 端口 443 与 Kerberos 进行通信的。

在身份管理(IdM)中,Kerberos 密钥分发中心代理 (KKDCP)提供此功能。

在 IdM 服务器上,KKDCP 默认启用,并通过 https://server.idm.example.com/KdcProxy 提供。在 IdM 客户端上,您必须更改其 Kerberos 配置来访问 KKDCP。

52.1. 配置 IdM 客户端以使用 KKDCP

作为身份管理(IdM)系统管理员,您可以将 IdM 客户端配置为使用 IdM 服务器上的 Kerberos 密钥分发中心代理(KKDCP)。如果默认的 Kerberos 端口在 IdM 服务器上无法访问,并且 HTTPS 端口 443 是访问 Kerberos 服务的唯一方式,那么这很有用。

先决条件

  • 您有访问 IdM 客户端的 root 权限。

流程

  1. 打开 /etc/krb5.conf 文件进行编辑。
  2. [realms] 部分中,对 kdcadmin_serverkpasswd_server 选项输入 KKDCP 的 URL:

    [realms]
    EXAMPLE.COM = {
      kdc = https://kdc.example.com/KdcProxy
      admin_server = https://kdc.example.com/KdcProxy
      kpasswd_server = https://kdc.example.com/KdcProxy
      default_domain = example.com
    }

    要实现冗余,您可以多次添加参数 kdcadmin_serverkpasswd_server 来指示不同的 KKDCP 服务器。

  3. 重启 sssd 服务以使更改生效:

    ~]# systemctl restart sssd