Pesquisar

33.4. Aplicação de indicadores de autenticação para um serviço IdM

download PDF

Este procedimento descreve a criação de um serviço IdM e sua configuração para exigir determinados indicadores de autenticação Kerberos a partir de solicitações de tickets de serviço recebidos.

Ao associar indicadores de autenticação com um serviço IdM, somente clientes que utilizaram esses mecanismos específicos de pré-autenticação para obter seu bilhete inicial de passagem (TGT) poderão ter acesso ao serviço.

33.4.1. Criação de uma entrada de serviço IdM e seu keytab Kerberos

Adicionar uma entrada IdM service ao IdM para um serviço executado em um host IdM cria um Kerberos principal correspondente, e permite que o serviço solicite um certificado SSL, um Kerberos keytab, ou ambos.

O procedimento a seguir descreve a criação de uma entrada de serviço IdM e a geração de um keytab Kerberos associado para criptografar a comunicação com esse serviço.

Pré-requisitos

  • Seu serviço pode armazenar um Kerberos principal, um certificado SSL, ou ambos.

Procedimento

  1. Adicione um serviço IdM com o comando ipa service-add para criar um Kerberos principal associado a ele. Por exemplo, para criar a entrada do serviço IdM para a aplicação testservice que roda no host client.example.com:

    [root@client ~]# ipa service-add testservice/client.example.com
    -------------------------------------------------------------
    Modified service "testservice/client.example.com@EXAMPLE.COM"
    -------------------------------------------------------------
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Managed by: client.example.com
  2. Gerar e armazenar um keytab Kerberos para o serviço no cliente.

    [root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com
    Keytab successfully retrieved and stored in: /etc/testservice.keytab

Etapas de verificação

  1. Exibir informações sobre um serviço IdM com o comando ipa service-show.

    [root@server ~]# ipa service-show testservice/client.example.com
      Principal name: testservice/client.example.com@EXAMPLE.COM
      Principal alias: testservice/client.example.com@EXAMPLE.COM
      Keytab: True
      Managed by: client.example.com
  2. Exibir o conteúdo do keytab do serviço Kerberos com o comando klist.

    [root@server etc]# klist -ekt /etc/testservice.keytab
    Keytab name: FILE:/etc/testservice.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac)
       2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.