Chapitre 1. Se connecter à la gestion des identités à partir de la ligne de commande
La gestion des identités (IdM) utilise le protocole Kerberos pour prendre en charge l'authentification unique. L'authentification unique signifie que l'utilisateur ne saisit qu'une seule fois le nom d'utilisateur et le mot de passe corrects, puis accède aux services IdM sans que le système ne lui demande à nouveau ses informations d'identification.
Dans l'IdM, le System Security Services Daemon (SSSD) obtient automatiquement un ticket d'attribution de ticket (TGT) pour un utilisateur après que celui-ci s'est connecté avec succès à l'environnement de bureau sur une machine cliente IdM avec le nom de principal Kerberos correspondant. Cela signifie qu'après s'être connecté, l'utilisateur n'est pas obligé d'utiliser l'utilitaire kinit pour accéder aux ressources IdM.
Si vous avez effacé votre cache de justificatifs Kerberos ou si votre TGT Kerberos a expiré, vous devez demander manuellement un ticket Kerberos pour accéder aux ressources de l'IdM. Les sections suivantes présentent les opérations de base de l'utilisateur lors de l'utilisation de Kerberos dans IdM.
1.1. Utilisation de kinit pour se connecter manuellement à IdM
Cette procédure décrit l'utilisation de l'utilitaire kinit pour s'authentifier manuellement auprès d'un environnement de gestion des identités (IdM). L'utilitaire kinit obtient et met en cache un ticket Kerberos (TGT) au nom d'un utilisateur IdM.
N'utilisez cette procédure que si vous avez détruit votre TGT Kerberos initial ou s'il a expiré. En tant qu'utilisateur IdM, lorsque vous vous connectez à votre machine locale, vous vous connectez aussi automatiquement à IdM. Cela signifie qu'après vous être connecté, vous n'avez pas besoin d'utiliser l'utilitaire kinit pour accéder aux ressources IdM.
Procédure
Pour se connecter à l'IdM
sous le nom d'utilisateur de l'utilisateur actuellement connecté sur le système local, utilisez kinit sans spécifier de nom d'utilisateur. Par exemple, si vous êtes connecté en tant que
example_usersur le système local :[example_user@server ~]$ kinit Password for example_user@EXAMPLE.COM: [example_user@server ~]$Si le nom d'utilisateur de l'utilisateur local ne correspond à aucune entrée d'utilisateur dans IdM, la tentative d'authentification échoue :
[example_user@server ~]$ kinit kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentialsen utilisant un principal Kerberos qui ne correspond pas à votre nom d'utilisateur local, transmettez le nom d'utilisateur requis à l'utilitaire
kinit. Par exemple, pour vous connecter en tant qu'utilisateuradmin:[example_user@server ~]$ kinit admin Password for admin@EXAMPLE.COM: [example_user@server ~]$
En option, pour vérifier que la connexion a réussi, utilisez l'utilitaire klist pour afficher le TGT mis en cache. Dans l'exemple suivant, le cache contient un ticket pour le principal
example_user, ce qui signifie que sur cet hôte particulier, seulexample_userest actuellement autorisé à accéder aux services IdM :$ klist Ticket cache: KEYRING:persistent:0:0 Default principal: example_user@EXAMPLE.COM Valid starting Expires Service principal 11/10/2019 08:35:45 11/10/2019 18:35:45 krbtgt/EXAMPLE.COM@EXAMPLE.COM
