Chapitre 15. Utilisation du proxy KDC dans IdM
Certains administrateurs peuvent choisir de rendre les ports Kerberos par défaut inaccessibles dans leur déploiement. Pour permettre aux utilisateurs, aux hôtes et aux services d'obtenir des informations d'identification Kerberos, vous pouvez utiliser le service HTTPS
comme un proxy qui communique avec Kerberos via le port 443 de HTTPS
.
Dans le cadre de la gestion de l'identité (IdM), le site Kerberos Key Distribution Center Proxy (KKDCP) offre cette fonctionnalité.
Sur un serveur IdM, KKDCP est activé par défaut et disponible à l'adresse suivante https://server.idm.example.com/KdcProxy
. Sur un client IdM, vous devez modifier sa configuration Kerberos pour accéder au KKDCP.
15.1. Configuration d'un client IdM pour l'utilisation de KKDCP
En tant qu'administrateur du système de gestion des identités (IdM), vous pouvez configurer un client IdM pour qu'il utilise le Kerberos Key Distribution Center Proxy (KKDCP) sur un serveur IdM. Ceci est utile si les ports Kerberos par défaut ne sont pas accessibles sur le serveur IdM et que le port 443 de HTTPS
est le seul moyen d'accéder au service Kerberos.
Conditions préalables
-
Vous avez un accès
root
au client IdM.
Procédure
-
Ouvrez le fichier
/etc/krb5.conf
pour le modifier. Dans la section
[realms]
, entrez l'URL du KKDCP pour les optionskdc
,admin_server
etkpasswd_server
:[realms] EXAMPLE.COM = { kdc = https://kdc.example.com/KdcProxy admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com }
Pour des raisons de redondance, vous pouvez ajouter les paramètres
kdc
,admin_server
, etkpasswd_server
plusieurs fois pour indiquer différents serveurs KKDCP.Redémarrez le service
sssd
pour que les modifications soient prises en compte :~]# systemctl restart sssd