28.5. Délégation contrainte dans la gestion de l'identité
L'extension Service for User to Proxy (S4U2proxy
) fournit un service qui obtient un ticket de service pour un autre service au nom d'un utilisateur. Cette fonctionnalité est connue sous le nom de constrained delegation. Le second service est généralement un mandataire qui effectue un travail pour le compte du premier service, dans le contexte d'autorisation de l'utilisateur. L'utilisation de la délégation sous contrainte élimine la nécessité pour l'utilisateur de déléguer l'intégralité de son ticket d'attribution de ticket (TGT).
La gestion de l'identité (IdM) utilise traditionnellement la fonction Kerberos S4U2proxy
pour permettre au serveur web d'obtenir un ticket de service LDAP au nom de l'utilisateur. Le système de confiance IdM-AD utilise également la délégation contrainte pour obtenir un principal cifs
.
Vous pouvez utiliser la fonctionnalité S4U2proxy
pour configurer un client de console Web afin de permettre à un utilisateur IdM authentifié avec une carte à puce d'effectuer les opérations suivantes :
- Exécuter des commandes avec des privilèges de superutilisateur sur l'hôte RHEL sur lequel le service de console web est exécuté sans qu'il soit demandé de s'authentifier à nouveau.
-
Accédez à un hôte distant à l'aide de
SSH
et accédez aux services de l'hôte sans devoir vous authentifier à nouveau.
Ressources supplémentaires