28.2.2. Inscrição e autenticação de hosts e usuários IdM: comparação
Há muitas semelhanças entre usuários e anfitriões na IdM. Esta seção descreve algumas das semelhanças que podem ser observadas durante a fase de inscrição, bem como aquelas que dizem respeito à autenticação durante a fase de implantação.
A etapa de cadastramento (Tabela 28.1, “Inscrição de usuários e anfitriões”):
-
Um administrador pode criar uma entrada LDAP tanto para um usuário quanto para um host antes de o usuário ou host realmente entrar no IdM: para o usuário em estágio, o comando é
ipa stageuser-add
; para o host, o comando éipa host-add
. -
Um arquivo contendo um key table ou, abreviado, keytab, uma chave simétrica parecida em certa medida com uma senha de usuário, é criado durante a execução do comando
ipa-client-install
no host, resultando na adesão do host ao reino do IdM. Analogicamente, o usuário é solicitado a criar uma senha ao ativar sua conta, juntando-se assim ao domínio do IdM. - Enquanto a senha do usuário é o método padrão de autenticação para um usuário, a guia de chave é o método padrão de autenticação para um host. A tabela de chaves é armazenada em um arquivo no host.
Tabela 28.1. Inscrição de usuários e anfitriões Ação Usuário Anfitrião Pré-inscrição
$ ipa stageuser-add user_name [--password]
$ ipa host-add host_name [--random]
Ativação da conta
$ ipa stageuser-activate user_name
US$ ipa-client install [--password] (deve ser executado no próprio anfitrião)
-
Um administrador pode criar uma entrada LDAP tanto para um usuário quanto para um host antes de o usuário ou host realmente entrar no IdM: para o usuário em estágio, o comando é
A etapa de implantação (Tabela 28.2, “Autenticação do usuário e do anfitrião da sessão”):
- Quando um usuário inicia uma nova sessão, o usuário se autentica usando uma senha; da mesma forma, toda vez que é ligado, o host se autentica apresentando seu arquivo keytab. O System Security Services Daemon (SSSD) gerencia este processo em segundo plano.
- Se a autenticação for bem sucedida, o usuário ou anfitrião obtém um bilhete Kerberos de concessão de bilhete (TGT).
- O TGT é então utilizado para a obtenção de bilhetes específicos para serviços específicos.
Tabela 28.2. Autenticação do usuário e do anfitrião da sessão Usuário Anfitrião Meios padrão de autenticação
Password
Keytabs
Início de uma sessão (usuário comum)
$ kinit user_name
[switch on the host]
O resultado de uma autenticação bem sucedida
TGT a ser utilizado para obter acesso a serviços específicos
TGT a ser utilizado para obter acesso a serviços específicos
Os TGTs e outros bilhetes Kerberos são gerados como parte dos serviços e políticas Kerberos definidos pelo servidor. A concessão inicial de um bilhete Kerberos, a renovação das credenciais Kerberos e até mesmo a destruição da sessão Kerberos são todos tratados automaticamente pelos serviços da IdM.