1.3. Configuração de um sistema externo para autenticação Kerberos
Esta seção descreve como configurar um sistema externo para que os usuários do Gerenciamento de Identidade (IdM) possam fazer login no IdM a partir do sistema externo usando suas credenciais Kerberos.
Habilitar a autenticação Kerberos em sistemas externos é especialmente útil quando sua infra-estrutura inclui múltiplos reinos ou domínios sobrepostos. Também é útil se o sistema não tiver sido registrado em nenhum domínio IdM através de ipa-client-install
.
Para permitir a autenticação Kerberos ao IdM a partir de um sistema que não seja membro do domínio IdM, defina um arquivo de configuração Kerberos específico do IdM no sistema externo.
Pré-requisitos
O pacote
krb5-workstation
está instalado no sistema externo.Para descobrir se o pacote está instalado, use o seguinte comando CLI:
# yum list installed krb5-workstation Installed Packages krb5-workstation.x86_64 1.16.1-19.el8 @BaseOS
Procedimento
Copie o arquivo
/etc/krb5.conf
do servidor da IdM para o sistema externo. Por exemplo:# scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
AtençãoNão sobrescreva o arquivo
krb5.conf
existente no sistema externo.No sistema externo, configure a sessão terminal para usar o arquivo de configuração copiado da IdM Kerberos:
$ export KRB5_CONFIG=/etc/krb5_ipa.conf
A variável
KRB5_CONFIG
existe apenas temporariamente até que você termine a sessão. Para evitar esta perda, exporte a variável com um nome de arquivo diferente.-
Copie os trechos de configuração Kerberos do diretório
/etc/krb5.conf.d/
para o sistema externo.
Os usuários do sistema externo podem agora usar o utilitário kinit
para se autenticar contra o servidor IdM.
Recursos adicionais
-
Para obter detalhes sobre Kerberos, consulte as páginas man
krb5.conf(5)
,kinit(1)
,klist(1)
, ekdestroy(1)
.