Menu Close

3.2. IdM 服务器和客户端简介

Identity Management (IdM) 域包括以下类型的系统:

IdM 服务器

IdM 服务器是响应 IdM 域内身份、认证和授权请求的 Red Hat Enterprise Linux 系统。在大多数部署中,集成的证书颁发机构 (CA) 也安装 IdM 服务器。

IdM 服务器是身份和策略信息的中央仓库。IdM 服务器也可以托管域成员使用的任何可选服务:

  • 证书颁发机构 (CA)
  • 密钥恢复授权中心 (KRA)
  • DNS
  • Active Directory (AD) 信任控制器
  • Active Directory (AD) 信任代理
IdM 客户端

IdM 客户端是注册了服务器的 Red Hat Enterprise Linux 系统,并配置为使用这些服务器中的 IdM 服务。

客户端与 IdM 服务器交互来访问由它们提供的服务。例如,客户端使用 Kerberos 协议执行身份验证并获取企业单点登录 (SSO) 的票据,使用 LDAP 获取身份和策略入侵,使用 DNS 检测服务器和服务所处的位置以及如何连接它们。

IdM 服务器也是嵌入式 IdM 客户端。与自己注册的客户端一样,服务器可以提供与其他客户端相同的功能。

为了为大量客户端以及冗余和可用性提供服务,IdM 允许在单一域中的多个 IdM 服务器中进行部署。可以部署最多 60 个服务器。这是 IdM 域中目前支持的最大 IdM 服务器数,也称为副本。IdM 服务器为客户端提供不同的服务。不是所有的服务器都需要提供所有可能的服务。每个服务器中都总是可用的 Kerberos 和 LDAP 等服务器组件。CA、DNS、Trust Controller 或 Vault 等其它服务都是可选的。这意味着不同的服务器在部署中通常会扮演不同的角色。

如果您的 IdM 拓扑包含集成的 CA,则一个服务器具有 证书撤销列表(CRL)发布程序服务器 的角色,并且一个服务器具有 CA 续订服务器 的角色。默认情况下,安装的第一个 CA 服务器承担这两个角色,但您可以将这些角色分配到单独的服务器。

警告

CA 续订服务器 对 IdM 部署至关重要,因为它是负责跟踪 CA 子系统 证书和密钥 的唯一系统。有关如何从影响您的 IdM 部署的灾难中恢复的详情,请参阅使用身份管理 执行灾难恢复

要获得冗余和负载平衡,管理员需要通过创建现有服务器的副本来创建附加服务器。在创建副本时,IdM 会克隆现有服务器的配置。副本与初始服务器的核心配置共享,包括有关用户、系统、证书和配置策略的内部信息。

注意

除了 CA renewalCRL publisher 角色外,副本和从中创建副本的服务器的功能完全相同。因此,术语服务器(server)副本(replica)名会根据上下文互换使用。