Menu Close

第 10 章 使用存储在 IdM 客户端中的证书配置身份验证

通过配置身份管理(IdM),IdM 系统管理员允许使用一个 CA 向用户发布的证书,通过 IdM Web UI 和命令行界面(CLI)进行身份验证。

Web 浏览器可以在不属于 IdM 域的系统上运行。

这个用户案例提供了如何有效地配置和测试 Identity Management Web UI 和 CLI,以及存储在 IdM 客户端桌面上的证书的信息。在此用户案例中,

注意

只有身份管理用户可以使用证书登录 Web UI。Active Directory 用户可以使用其用户名和密码登录。

10.1. 在 Web UI 中为证书验证配置身份管理服务器

作为 Identity Management(IdM)管理员,您可以允许用户使用证书来向 IdM 环境进行身份验证。

步骤

作为身份管理管理员:

  1. 在身份管理服务器上,获取管理员特权并创建 shell 脚本来配置服务器。

    1. 运行 ipa-advise config-server-for-smart-card-auth 命令,并将其输出保存到一个文件中,例如 server_certificate_script.sh

      # kinit admin
      # ipa-advise config-server-for-smart-card-auth > server_certificate_script.sh
    2. 使用 chmod 实用程序向该文件添加执行权限:

      # chmod +x server_certificate_script.sh
  2. 在 Identity Management 域中的所有服务器上,运行 server_certificate_script.sh 脚本

    1. 如果 IdM CA 是唯一一个您允许向用户签发证书用于验证的 CA,使用 IdM Certificate Authority 证书 /etc/ipa/ca.crt 的路径:

      # ./server_certificate_script.sh /etc/ipa/ca.crt
    2. 如果不同的外部 CA 签署了您要启用证书身份验证的用户的证书,则导致相关 CA 证书的路径作为输入:

      # ./server_certificate_script.sh /tmp/ca1.pem /tmp/ca2.pem
注意

如果您想为整个拓扑中启用的用户认证,请不要忘记在添加到系统的每个新副本上运行脚本。