Red Hat Training

A Red Hat training course is available for RHEL 8

第 2 章 查看、启动和停止身份管理服务

身份管理(IdM)服务器是红帽企业 Linux 系统,充当域控制器(DC)。很多不同的服务在 IdM 服务器上运行,最重要的是目录服务器、证书颁发机构(CA)、DNS 和 Kerberos。

2.1. IdM 服务

2.1.1. IdM 服务器托管的服务列表

以下大多数服务并非严格要求安装到 IdM 服务器中。例如,您可以在 IdM 域外的外部服务器上安装诸如证书颁发机构(CA)或 DNS 服务器等服务。

Kerberos
krb5kdckadmin 服务

IdM 使用 Kerberos 协议来支持单点登录。使用 Kerberos 时,用户只需提供一次正确的用户名和密码,且无需系统再次提示输入凭证即可访问 IdM 服务。

Kerberos 分为两个部分:

  • krb5kdc 服务是 Kerberos 身份验证服务和密钥分发中心(KDC)守护进程。
  • kadmin 服务是 Kerberos 数据库管理工具。

有关如何在 IdM 中使用 Kerberos 进行身份验证的详情,请参阅从命令行中的 身份管理,并在 Web UI 中记录到 IdM: 使用 Kerberos 票据

LDAP 目录服务器
dirsrv 服务

IdM LDAP 目录服务器实例存储所有 IdM 信息,如与 Kerberos 相关的信息、用户帐户、主机条目、服务、策略、DNS 等。LDAP 目录服务器实例基于与红帽目录服务器相同的技术。但是,它被调优到特定于 IdM 的任务。

证书颁发机构
pki-tomcatd 服务

集成认证机构(CA) 基于与红帽证书系统相同的技术PKI 是用于访问证书系统服务的命令行界面。

如果单独创建并提供所有必需的证书,您还可以在没有集成 CA 的情况下安装服务器。

如需更多信息,请参阅规划您的 CA 服务

域名系统(DNS)
named 服务

IdM 使用 DNS 进行动态服务发现。IdM 客户端安装实用程序可使用 DNS 的信息自动配置客户端机器。客户端在 IdM 域注册后,它使用 DNS 来查找域中的 IdM 服务器和服务。Red Hat Enterprise Linux 中的 DNS(域名系统)协议的 BIND (Berkeley Internet 名称域)实现包括 指定的 DNS 服务器。named-pkcs11 是采用对 PKCS#11 加密标准的原生支持构建的 BIND DNS 服务器版本。

如需更多信息,请参阅规划您的 DNS 服务和主机名

Apache HTTP 服务器
httpd 服务

Apache HTTP Web 服务器提供 IdM Web UI,还管理证书颁发机构和其他 IdM 服务之间的通信。

Samba/ Winbind
SMBwinbind 服务

Samba 在红帽企业 Linux 中实施服务器消息块(SMB)协议,也称为通用 Internet 文件系统(CIFS)协议。通过 smb 服务,SMB 协议可让您访问服务器上的资源,如文件共享和共享打印机。如果您为 Trust 配置了一个 Active Directory(AD)环境,'Winbind' 服务负责管理 IdM 服务器和 AD 服务器之间的通信。

一次性密码(OTP)验证
ipa-otpd 服务

一次性密码(OTP)是由身份验证令牌为一个会话生成的密码,作为双重身份验证的一部分。OTP 身份验证在 Red Hat Enterprise Linux 中通过 ipa-otpd 服务实现。

如需更多信息,请参阅使用一个时间密码登录到身份管理 Web UI

OpenDNSSEC
ipa-dnskeysyncd 服务

OpenDNSSEC 是一个 DNS 管理器,可自动跟踪 DNS 安全扩展(DNSSEC)密钥和区域的签名。ipa-dnskeysyncd 服务管理 IdM Directory 服务器和 OpenDNSSEC 之间的同步。

身份管理服务器:统一服务

2.1.2. IdM 客户端托管的服务列表

  • 系统安全服务守护进程sssd 服务

系统安全服务守护进程 (SSSD)是客户端应用程序,用于管理用户身份验证和缓存凭据。缓存可让本地系统在 IdM 服务器不可用或客户端离线时继续正常身份验证操作。

如需更多信息,请参阅了解 SSSD 及其优势

  • Certmongercertmonger 服务

certmonger 服务监控并更新客户端上的证书。它可以为系统上的服务请求新证书。

如需更多信息,请参阅使用 certmonger 为服务获取 IdM 证书

IdM 服务间的交互