Menu Close

第 28 章 为 IdM 域中的 RHEL 9 web 控制台配置单点登录

了解如何使用 RHEL 9 web 控制台中的 Identity Management(IdM)提供的单点登录(SSO)身份验证。

优点:

  • IdM 域管理员可以使用 RHEL 9 web 控制台来管理本地机器。
  • IdM 域中具有 Kerberos 票据的用户不需要提供登录凭据来访问 Web 控制台。
  • IdM 域已知的所有主机均可通过 RHEL 9 web 控制台本地实例的 SSH 访问。
  • 不需要证书配置。控制台的 Web 服务器会自动切换到 IdM 证书颁发机构发布的证书,并被浏览器接受。

本章论述了配置用于登录到 RHEL web 控制台的 SSO 的步骤:

  1. 使用 RHEL 9 web 控制台将机器添加到 IdM 域中。

    详情请参阅使用 Web 控制台将 RHEL 9 系统添加到 IdM 域中

  2. 如果要使用 Kerberos 进行身份验证,则需要在机器上获得 Kerberos ticket。

    详情请参阅使用 Kerberos 身份验证登录到 web 控制台

  3. 允许 IdM 服务器上的管理员在任何主机上运行任何命令。

    详情请参阅为 IdM 服务器上的域管理员启用管理员的 admin sudo 访问权限

先决条件

  • 在 RHEL 9 系统上安装的 RHEL web 控制台。

    详情请参阅安装 Web 控制台

  • 在使用 RHEL web 控制台的系统中安装 IdM 客户端。

    详情请查看 IdM 客户端安装

28.1. 使用 web 控制台将 RHEL 9 系统添加到 IdM 域中

您可以使用 Web 控制台将 Red Hat Enterprise Linux 9 系统添加到 Identity Management(IdM)域中。

先决条件

  • IdM 域正在运行,并可访问您想要加入的客户端。
  • 您有 IdM 域管理员凭证。

流程

  1. 登录到 RHEL web 控制台。

    详情请参阅 Web 控制台的日志记录

  2. 打开 System 标签页。
  3. Join Domain

    Screenshot of the webconsole displaying details for the system and a "Domain" entry has a link for "Join Domain."

  4. Join a Domain 对话框的 Domain Address 字段中输入 IdM 服务器的主机名。
  5. Authentication 下拉列表中,选择使用密码或一次性密码进行验证。

    A screenshot of the "Join a Domain" pop-up window with a field for "Domain Address" with a fully-qualified host name. There is also a drop-down menu for "Authentication" with options for "Administrator Password" and "One Time Password" and a field for "One Time Password."

  6. Domain Administrator Name 字段中输入 IdM 管理帐户的用户名。
  7. 在 password 字段中,根据您在 Authentication 下拉列表中的选择添加密码或一次性密码。
  8. Join

    A screenshot of the "Join a Domain" pop-up window with a field for "Domain Address" with a fully-qualified host name and the "Authentication" has been set to "Administrator Password." The "Domain Administrator Name" has been filled in with "admin" and the password specified for the "Domain Administrator Password" field has been obfuscated with circles representing each character.

验证步骤

  1. 如果 RHEL 9 web 控制台没有显示错误,系统已加入到 IdM 域,您可以在 System 屏幕中看到域名。
  2. 要验证该用户是否为域的成员,点 Terminal 页面并输入 id 命令:

    $ id
    euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023