Red Hat Training
A Red Hat training course is available for RHEL 8
3.2. IdM 服务器和客户端简介
Identity Management (IdM) 域包括以下类型的系统:
- IdM 客户端
IdM 客户端是注册了服务器的 Red Hat Enterprise Linux 系统,并配置为使用这些服务器中的 IdM 服务。
客户端与 IdM 服务器交互来访问由它们提供的服务。例如,客户端使用 Kerberos 协议来执行身份验证并获取企业单点登录(SSO)的票据,使用 LDAP 获取身份和策略信息,使用 DNS 检测服务器和服务所在的位置以及如何连接它们。
- IdM 服务器
IdM 服务器是响应 IdM 域内身份、认证和授权请求的 Red Hat Enterprise Linux 系统。在大多数部署中,集成的证书颁发机构 (CA) 也安装 IdM 服务器。
IdM 服务器是身份和策略信息的中央仓库。IdM 服务器也可以托管域成员使用的任何可选服务:
- 证书颁发机构 (CA)
- 密钥恢复授权中心 (KRA)
- DNS
- Active Directory (AD) 信任控制器
- Active Directory (AD) 信任代理
IdM 服务器也是嵌入式 IdM 客户端。与自己注册的客户端一样,服务器可以提供与其他客户端相同的功能。
为了为大量客户端以及冗余和可用性提供服务,IdM 允许在单一域中的多个 IdM 服务器中进行部署。可以部署最多 60 个服务器。这是 IdM 域中目前支持的最大 IdM 服务器数,也称为副本。IdM 服务器为客户端提供不同的服务。不是所有的服务器都需要提供所有可能的服务。每个服务器中都总是可用的 Kerberos 和 LDAP 等服务器组件。CA、DNS、Trust Controller 或 Vault 等其它服务都是可选的。这意味着不同的服务器在部署中通常会扮演不同的角色。
如果您的 IdM 拓扑包含一个集成的 CA,则一个服务器具有证书撤销列表 (CRL) publisher 服务器的角色,一个服务器则拥有 CA 续订服务器的角色。
默认情况下,安装的第一个 CA 服务器承担这两个角色,但您可以将这些角色分配到单独的服务器。
CA 续订服务器对您的 IdM 部署至关重要,因为它是负责跟踪 CA 子系统证书和密钥的域中的唯一系统。有关如何从影响您的 IdM 部署的灾难中恢复的详情,请参阅使用身份管理执行灾难恢复。
要获得冗余和负载平衡,管理员需要通过创建现有服务器的副本来创建附加服务器。在创建副本时,IdM 会克隆现有服务器的配置。副本与初始服务器的核心配置共享,包括有关用户、系统、证书和配置策略的内部信息。
除了 CA renewal 和 CRL publisher 角色外,副本和从中创建副本的服务器的功能完全相同。因此,术语服务器(server)和副本(replica)名会根据上下文互换使用。
