Capítulo 44. Configuração da autenticação com um certificado armazenado na área de trabalho de um cliente IdM
Ao configurar o Gerenciamento de Identidade (IdM), os administradores do sistema IdM podem permitir que os usuários se autentiquem na UI web e na interface de linha de comando (CLI) do IdM usando um certificado que uma Autoridade Certificadora (CA) emitiu para os usuários.
O navegador web pode ser executado em um sistema que não faz parte do domínio IdM.
Esta história de usuário fornece instruções sobre como configurar e testar de forma eficaz o logon no Gerenciamento de Identidade da web UI e CLI com um certificado armazenado na área de trabalho de um cliente IdM. Ao seguir esta história de usuário,
- você pode pular Seção 44.2, “Solicitar um novo certificado de usuário e exportá-lo para o cliente” se o usuário que você deseja autenticar usando um certificado já tem um certificado;
- você pode pular Seção 44.3, “Assegurar que o certificado e o usuário estejam ligados entre si” se o certificado do usuário tiver sido emitido pela IdM CA.
Somente usuários de Gerenciamento de Identidade podem entrar na interface web usando um certificado. Os usuários do Active Directory podem fazer o login com seu nome de usuário e senha.
44.1. Configuração do Servidor de Gerenciamento de Identidade para Autenticação de Certificado na Interface Web
Como administrador de Gerenciamento de Identidade (IdM), você pode permitir que os usuários utilizem certificados para autenticar em seu ambiente IdM.
Procedimento
Como administrador da Administração de Identidade:
Em um servidor de Gerenciamento de Identidade, obtenha privilégios de administrador e crie um script de shell para configurar o servidor.
Execute o comando
ipa-advise config-server-for-smart-card-auth
e salve sua saída em um arquivo, por exemploserver_certificate_script.sh
:# kinit admin # ipa-advise config-server-for-smart-card-auth >
server_certificate_script.sh
Adicione permissões de execução ao arquivo usando o utilitário
chmod
:# chmod x
server_certificate_script.sh
Em todos os servidores no domínio da Gestão de Identidade, execute o script
server_certificate_script.sh
com o caminho do certificado do IdM Certificate Authority,
/etc/ipa/ca.crt
, como entrada se o IdM CA for a única autoridade certificadora que emitiu os certificados dos usuários para os quais você deseja habilitar a autenticação do certificado:#
./server_certificate_script.sh
/etc/ipa/ca.crt
com os caminhos que levam aos certificados CA relevantes como entrada se diferentes CAs externas assinassem os certificados dos usuários para os quais se deseja habilitar a autenticação do certificado:
#
./server_certificate_script.sh
/tmp/ca1.pem
/tmp/ca2.pem
Não se esqueça de executar o script em cada nova réplica que você adicionar ao sistema no futuro se quiser ter autenticação de certificado para usuários habilitados em toda a topologia.