33.4. Aplicação de indicadores de autenticação para um serviço IdM
Este procedimento descreve a criação de um serviço IdM e sua configuração para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.
Ao associar indicadores de autenticação com um serviço IdM, somente clientes que utilizaram esses mecanismos específicos de pré-autenticação para obter seu bilhete inicial de passagem (TGT) poderão ter acesso ao serviço.
33.4.1. Criação de uma entrada de serviço IdM e seu keytab Kerberos
Adicionar uma entrada IdM service ao IdM para um serviço executado em um host IdM cria um Kerberos principal correspondente, e permite que o serviço solicite um certificado SSL, um Kerberos keytab, ou ambos.
O procedimento a seguir descreve a criação de uma entrada de serviço IdM e a geração de um keytab Kerberos associado para criptografar a comunicação com esse serviço.
Pré-requisitos
- Seu serviço pode armazenar um Kerberos principal, um certificado SSL, ou ambos.
Procedimento
Adicione um serviço IdM com o comando
ipa service-add
para criar um Kerberos principal associado a ele. Por exemplo, para criar a entrada do serviço IdM para a aplicaçãotestservice
que roda no hostclient.example.com
:[root@client ~]# ipa service-add testservice/client.example.com ------------------------------------------------------------- Modified service "testservice/client.example.com@EXAMPLE.COM" ------------------------------------------------------------- Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Managed by: client.example.com
Gerar e armazenar um keytab Kerberos para o serviço no cliente.
[root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com Keytab successfully retrieved and stored in: /etc/testservice.keytab
Etapas de verificação
Exibir informações sobre um serviço IdM com o comando
ipa service-show
.[root@server ~]# ipa service-show testservice/client.example.com Principal name: testservice/client.example.com@EXAMPLE.COM Principal alias: testservice/client.example.com@EXAMPLE.COM Keytab: True Managed by: client.example.com
Exibir o conteúdo do keytab do serviço Kerberos com o comando
klist
.[root@server etc]# klist -ekt /etc/testservice.keytab Keytab name: FILE:/etc/testservice.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac) 2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)