第 13 章 配置外部身份验证

通过使用外部身份验证,您可以从外部身份提供程序中的用户组成员资格生成用户和用户组权限。使用外部身份验证时,您不必在卫星服务器上创建这些用户并手动维护其组成员资格。

重要用户和组群帐户信息

所有用户和组群帐户必须是本地帐户。这是为了确保卫星服务器上的本地帐户和 Active Directory 域中的帐户之间没有身份验证冲突。

如果您的 /etc/passwd/etc/group 文件中存在用户和组群帐户,则您的系统不会受到这个冲突的影响。例如,要检查 /etc/passwd/etc/group 文件中是否存在 puppetapacheforemanforeman-proxy 组的条目,请输入以下命令: 

# cat /etc/passwd | grep 'puppet\|apache\|foreman\|foreman-proxy'
# cat /etc/group | grep 'puppet\|apache\|foreman\|foreman-proxy'

配置外部身份验证的情况

Red Hat Satellite 支持以下配置外部身份验证的一般场景:

此外,也提供对卫星服务器的访问权限,也可与红帽身份管理域集成。Red Hat Satellite 有一个 realm 功能,它可自动管理注册到某个域或域提供程序的任何系统的生命周期。更多信息请参阅 第 13.7 节 “Provisioned 主机的外部身份验证”

表 13.1. 身份验证概述

类型身份验证用户组

Red Hat Identity Management

Kerberos 或 LDAP

Active Directory

Kerberos 或 LDAP

POSIX

LDAP

13.1. 使用 LDAP

卫星支持使用一个或多个 LDAP 目录进行 LDAP 身份验证。

如果您需要 Red Hat Satellite 使用 TLS 建立安全 LDAP 连接(LDAPS),首先获取您要连接的 LDAP 服务器使用的证书,并将其标记为卫星服务器基本操作系统的信任,如下所述。如果您的 LDAP 服务器使用带有中间证书颁发机构的证书链,则链中所有根和中间证书都必须被信任,因此请确保获取所有证书。如果您此时不需要安全的 LDAP,请执行 第 13.1.2 节 “将 Red Hat Satellite 配置为使用 LDAP”

使用 SSSD 配置

虽然本节中介绍了直接 LDAP 集成,红帽建议您使用 SSSD 并根据 Red Hat Identity Management、AD 或 LDAP 服务器进行配置。SSSD 提高了身份验证过程的一致性。有关首选配置的详情,请参考 第 13.3 节 “使用 Active Directory”。您还可以缓存 SSSD 凭证,并将其用于 LDAP 身份验证。有关 SSSD 的详情,请参考 Red Hat Enterprise Linux 7 System-Level 身份验证指南中的 配置 SSSD

13.1.1. 为 Secure LDAP 配置 TLS

使用 Satellite CLI 为安全 LDAP(LDAPS)配置 TLS。

流程

  1. 从 LDAP 服务器获取证书。

    1. 如果您使用 Active Directory 证书服务,请使用 Base-64 编码的 X.509 格式导出企业 PKI CA 证书。如需有关 从 Active Directory 服务器创建和导出 CA 证书的信息,请参阅如何使用 Satellite 6 上的 TLS 配置 Active Directory 身份验证

    2. 将 LDAP 服务器证书下载到安装卫星服务器的 Red Hat Enterprise Linux 系统上的临时位置,并在完成后将其移除。

      例如: /tmp/example.crt。文件名扩展 .cer.crt 只包括惯例,可以引用 DER 二进制或 PEM ASCII 格式证书。

  2. 信任 LDAP 服务器中的证书。

    Red Hat Satellite Server 需要 CA 证书使 LDAP 身份验证成为 /etc/pki/tls/certs/ 目录中的单个文件。

    1. 使用 install 命令将导入的证书安装到具有正确权限的 /etc/pki/tls/certs/ 目录中: 

      # install /tmp/example.crt /etc/pki/tls/certs/

    2. root 用户身份输入以下命令信任从 LDAP 服务器获得的 example.crt 证书: 

      # ln -s example.crt /etc/pki/tls/certs/$(openssl \
x509 -noout -hash -in \
/etc/pki/tls/certs/example.crt).0

    3. 重启 httpd 服务: 

      # systemctl restart httpd

13.1.2. 将 Red Hat Satellite 配置为使用 LDAP

在卫星 Web UI 中,将 Satellite 配置为使用 LDAP。

请注意,如果您需要在 Satellite Web UI 中使用 Kerberos 的单点登录功能,您应该改为使用 Red Hat Identity Management 和 AD 外部身份验证。如需了解更多有关这些选项的信息,请参阅使用红帽身份管理 或使用 Active Directory

流程

  1. 将 Network Information System(NIS)服务布尔值设置为 true,以防止 SELinux 停止传出 LDAP 连接: 

    # setsebool -P nis_enabled on
  2. 进入 Administer > LDAP Authentication
  3. Create Authentication Source
  4. LDAP 服务器 选项卡中,输入 LDAP 服务器的名称、主机名、端口和服务器类型。默认端口为 389,默认服务器类型是 POSIX(您可以原生选择 FreeIPA 或 Active Directory,具体取决于身份验证服务器类型)。对于 TLS 加密的连接,请选择 LDAPS 复选框来启用加密。端口应更改为 636,这是 LDAPS 的默认设置。
  5. 帐户 选项卡中,输入帐户信息和域名详情。有关描述和示例,请参阅 第 13.1.3 节 “LDAP 设置的描述”
  6. Attribute mappings 选项卡上,将 LDAP 属性映射到 Satellite 属性。您可以映射登录名称、名字、姓氏、电子邮件地址和照片属性。如需示例,请参阅 第 13.1.4 节 “LDAP 连接的设置示例”
  7. 在位置 选项卡上,从左侧列表中选择位置。选择的位置分配给从 LDAP 身份验证源创建的用户,并在第一次登录时可用。
  8. Organizations 选项卡上,从左侧列表中选择机构。所选机构被分配给从 LDAP 身份验证源创建的用户,并在第一次登录时可用。
  9. Submit

  10. 为 LDAP 用户配置新帐户:

    • 如果您没有选择 Automatically Create Accounts In Satellite 复选框,请参阅 第 5.1.1 节 “创建用户” 来手动创建用户帐户。
    • 如果您选择了 Automatically Create Accounts In Satellite 复选框,LDAP 用户现在可以使用其 LDAP 帐户和密码登录到 Satellite。第一次登录后,Satellite 管理员必须手动为其分配角色。请参阅 第 5.1.2 节 “为用户分配角色” 在 Satellite 中分配适当的角色。

13.1.3. LDAP 设置的描述

下表提供了 帐户 选项卡中每个设置的描述。

表 13.2. 帐户标签设置

设置描述

帐户

对 LDAP 服务器具有读访问权限的 LDAP 帐户的用户名。如果服务器允许匿名读取,则不需要用户名,否则使用用户对象的完整路径。例如: 

uid=$login,cn=users,cn=accounts,dc=example,dc=com

$login 变量以字面字符串的形式存储在登录页面中输入的用户名。在扩展变量时,可以访问该值。

该变量无法从 LDAP 源与外部用户组一起使用,因为卫星需要在没有用户登录的情况下检索组列表。使用匿名或专用服务用户。

帐户密码

帐户用户名 字段中定义的用户的 LDAP 密码。如果 帐户用户名 正在使用 $login 变量,则此字段可以保持空白。

基本 DN

LDAP 目录的顶级域名。

组基本 DN

包含组的 LDAP 目录树的顶级域名。

LDAP 过滤器

用于限制 LDAP 查询的过滤器。

自动创建帐户在 Satellite 中

如果选中此复选框,卫星在第一次登录 Satellite 时为 LDAP 用户创建用户帐户。第一次登录后,Satellite 管理员必须手动为其分配角色。请参阅 第 5.1.2 节 “为用户分配角色” 在 Satellite 中分配适当的角色。

Usergroup Sync

如果选择了此选项,用户组成员资格会在用户登录时自动同步,以确保成员资格始终保持最新状态。如果清除此选项,Satellite 依赖于 cron 作业来定期同步组成员资格(默认为 30 分钟)。更多上下文请查看 配置外部用户组:

13.1.4. LDAP 连接的设置示例

下表显示了不同类型的 LDAP 连接的设置示例。以下示例使用一个名为 redhat 的专用服务帐户,该帐户对用户和组条目具有绑定、读取和搜索权限。请注意,LDAP 属性名称区分大小写。

表 13.3. Active Directory 的设置示例、可用 IPA 或红帽身份管理和 POSIX LDAP 连接

设置Active DirectoryFreeIPA 或红帽身份管理POSIX (OpenLDAP)

帐户

DOMAIN\redhat

uid=redhat,cn=users, cn=accounts,dc=example, dc=com

uid=redhat,ou=users, dc=example,dc=com

帐户密码

P@ssword

-

-

基本 DN

DC=example,DC=COM

dc=example,dc=com

dc=example,dc=com

组基本 DN

CN=Users,DC=example,DC=com

cn=groups,cn=accounts, dc=example,dc=com

cn=employee,ou=userclass, dc=example,dc=com

login name 属性

userPrincipalName

uid

uid

名字属性

givenName

givenName

givenName

姓氏属性

sn

sn

sn

电子邮件地址属性

mail

mail

mail

photo 属性

thumbnailPhoto

-

-

注意

userPrincipalName 允许在用户名中使用空格。登录名称属性 sAMAccountName (未列在上表中列出)提供了与传统的 Microsoft 系统的向后兼容性。sAMAccountName 不允许在用户名中使用空格。

13.1.5. LDAP 过滤器示例

作为管理员,您可以创建 LDAP 过滤器来限制特定用户对 Satellite 的访问。

表 13.4. 允许特定用户登录的过滤器示例

UserFilter

User1, User3

(memberOf=cn=Group1,cn=Users,dc=domain,dc=example)

User2, User3

(memberOf=cn=Group2,cn=Users,dc=domain,dc=example)

User1, User2, User3

(|(memberOf=cn=Group1,cn=Users,dc=domain,dc=example)(memberOf=cn=Group2,cn=Users,dc=domain,dc=example))

LDAP 目录结构

示例中过滤器使用的 LDAP 目录结构: 

DC=Domain,DC=Example
   |
   |----- CN=Users
         |
         |----- CN=Group1
         |----- CN=Group2
         |----- CN=User1
         |----- CN=User2
         |----- CN=User3

LDAP 组成员资格

示例中的过滤器使用的组成员资格:

成员

Group1

User1, User3

Group2

User2, User3