35.2. IdM が外部 IdP を介してログインを組み込む方法
SSSD 2.7.0 には、idp
Kerberos 事前認証方法を実装する sssd-idp
パッケージが含まれています。この認証方法は、OAuth 2.0 Device Authorization Grant フローに従って、認可の判断を外部 IdP に委任します。
-
IdM クライアントユーザーは、コマンドラインで
kinit
ユーティリティーを使用して Kerberos TGT の取得を試行するなどして、OAuth 2.0 デバイス認可付与フローを開始します。 - 特別なコードと Web サイトのリンクが認可サーバーから IdM KDC バックエンドに送信されます。
- IdM クライアントは、リンクとコードをユーザーに表示します。この例では、IdM クライアントはコマンドラインにリンクとコードを出力します。
ユーザーは、別のホストや携帯電話などのブラウザーで Web サイトのリンクを開きます。
- ユーザーは特別なコードを入力します。
- 必要に応じて、ユーザーは OAuth 2.0 ベースの IdP にログインします。
- ユーザーは、クライアントによる情報へのアクセスを許可するよう求められます。
- ユーザーは、元のデバイスのプロンプトでアクセスを確認します。この例では、ユーザーはコマンドラインで Enter キーを押します。
- IdM KDC バックエンドは、ユーザー情報にアクセスするために OAuth 2.0 認可サーバーをポーリングします。
サポート対象:
-
Pluggable Authentication Module (PAM) ライブラリーの呼び出しを可能にする
keyboard-interactive
認証方法を有効にして、SSH 経由でリモートからログインする場合。 -
logind
サービスを介してコンソールでローカルにログインする場合。 -
kinit
ユーティリティーを使用して Kerberos TGT (Ticket-granting ticket) を取得する場合。
現在のサポート対象外:
- IdM WebUI に直接ログインする場合。IdM WebUI にログインするには、最初に Kerberos チケットを取得する必要があります。
- Cockpit WebUI に直接ログインする場合。Cockpit WebUI にログインするには、最初に Kerberos チケットを取得する必要があります。