Red Hat Summit33.4. Aplicación de indicadores de autenticación para un servicio IdM
Este procedimiento describe la creación de un servicio IdM y su configuración para requerir determinados indicadores de autenticación Kerberos de las solicitudes de tickets de servicio entrantes.
Al asociar indicadores de autenticación a un servicio IdM, sólo los clientes que hayan utilizado esos mecanismos específicos de preautenticación para obtener su ticket inicial (TGT) podrán acceder al servicio.
33.4.1. Creación de una entrada de servicio IdM y su llavero Kerberos
Al añadir una entrada IdM service a IdM para un servicio que se ejecuta en un host IdM, se crea la entidad de seguridad Kerberos correspondiente y se permite que el servicio solicite un certificado SSL, un llavero Kerberos o ambos.
El siguiente procedimiento describe la creación de una entrada de servicio IdM y la generación de un llavero Kerberos asociado para cifrar la comunicación con ese servicio.
Requisitos previos
- Su servicio puede almacenar una entidad de crédito Kerberos, un certificado SSL o ambos.
Procedimiento
Añada un servicio IdM con el comando
ipa service-addpara crear una entidad de seguridad Kerberos asociada a él. Por ejemplo, para crear la entrada de servicio IdM para la aplicacióntestserviceque se ejecuta en el hostclient.example.com:[root@client ~]# ipa service-add testservice/client.example.com ------------------------------------------------------------- Modified service "testservice/client.example.com@EXAMPLE.COM" ------------------------------------------------------------- Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Managed by: client.example.comGenerar y almacenar un keytab Kerberos para el servicio en el cliente.
[root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com Keytab successfully retrieved and stored in: /etc/testservice.keytab
Pasos de verificación
Muestra información sobre un servicio IdM con el comando
ipa service-show.[root@server ~]# ipa service-show testservice/client.example.com Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Keytab: True Managed by: client.example.comMuestra el contenido del keytab de Kerberos del servicio con el comando
klist.[root@server etc]# klist -ekt /etc/testservice.keytab Keytab name: FILE:/etc/testservice.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}