33.4.2. Associando indicadores de autenticação com um serviço IdM
Este procedimento descreve a configuração de um serviço para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.
Pré-requisitos
- Você criou uma entrada de serviço IdM para um serviço que funciona em um host IdM. Veja Criando uma entrada de serviço IdM e sua tabela chave Kerberos.
Faça not atribuir indicadores de autenticação aos serviços internos da IdM. Os seguintes serviços de IdM não podem executar os passos de autenticação interativa exigidos pelo PKINIT e métodos de autenticação multi-fator:
host/server.example.com@EXAMPLE.COM HTTP/server.example.com@EXAMPLE.COM ldap/server.example.com@EXAMPLE.COM DNS/server.example.com@EXAMPLE.COM cifs/server.example.com@EXAMPLE.COM
Procedimento
Use o comando
ipa service-mod
para especificar um ou mais indicadores de autenticação necessários para um serviço, identificados com o argumento--auth-ind
.Método de autenticação --auth-ind
valorAutenticação de dois fatores
otp
Autenticação RADIUS
radius
PKINIT, cartão inteligente, ou autenticação de certificado
pkinit
Senhas temperadas (SPAKE ou FAST)
hardened
Por exemplo, para exigir que um usuário seja autenticado com cartão inteligente ou autenticação OTP para recuperar um tíquete de serviço para o principal
testservice
no hostclient.example.com
:[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit ------------------------------------------------------------- Modified service "testservice/client.example.com@EXAMPLE.COM" ------------------------------------------------------------- Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Managed by: client.example.com
Para remover todos os indicadores de autenticação de um serviço, forneça uma lista vazia de indicadores:
[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
Principal name: testservice/client.example.com@EXAMPLE.COM
Principal alias: testservice/client.example.com@EXAMPLE.COM
Managed by: client.example.com
Etapas de verificação
Mostrar informações sobre um serviço IdM, incluindo os indicadores de autenticação necessários, com o comando
ipa service-show
.[root@server ~]# ipa service-show testservice/client.example.com Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Authentication Indicators: otp, pkinit Keytab: True Managed by: client.example.com
Recursos adicionais
- Para testar a solicitação de uma senha de serviço para um serviço IdM, veja Recuperação de uma senha de serviço Kerberos para um serviço IdM.