49.5. Récupération d'un ticket IdM en tant qu'utilisateur IdP
Pour récupérer un ticket Kerberos (TGT) en tant qu'utilisateur auprès d'un fournisseur d'identité externe (IdP), demander un ticket Kerberos anonyme et activer le canal Flexible Authentication via Secure Tunneling (FAST) afin de fournir une connexion sécurisée entre le client Kerberos et le Centre de distribution Kerberos (KDC).
Conditions préalables
- Votre client IdM et vos serveurs IdM utilisent RHEL 9.1 ou une version ultérieure.
- Votre client IdM et vos serveurs IdM utilisent SSSD 2.7.0 ou une version ultérieure.
- Vous avez créé une référence à un IdP dans IdM. Voir Création d'une référence à un fournisseur d'identité externe.
- Vous avez associé une référence IdP externe au compte utilisateur. Voir Permettre à un utilisateur IdM de s'authentifier via un IdP externe.
Procédure
Utilisez Anonymous PKINIT pour obtenir un ticket Kerberos et le stocker dans un fichier nommé
./fast.ccache
.[root@client ~]# kinit -n -c ./fast.ccache
Commencez à vous authentifier en tant qu'utilisateur, en utilisant l'option
-T
pour activer le canal de communication FAST.[root@client ~]# kinit -T ./fast.ccache external-idp-user Authenticate at https://oauth2.idp.com:8443/auth/realms/master/device?user_code=YHMQ-XKTL and press ENTER.:
- Dans un navigateur, authentifiez-vous en tant qu'utilisateur sur le site web indiqué dans la sortie de la commande.
- Dans la ligne de commande, appuyez sur la touche Entrée pour terminer le processus d'authentification.
Vérification
Affichez les informations de votre ticket Kerberos et confirmez que la ligne
config: pa_type
indique152
pour la préauthentification avec un IdP externe.[root@client ~]# klist -C Ticket cache: KCM:0:58420 Default principal: external-idp-user@IDM.EXAMPLE.COM Valid starting Expires Service principal 05/09/22 07:48:23 05/10/22 07:03:07 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes 08/17/2022 20:22:45 08/18/2022 20:22:43 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 152