Pesquisar

57.7. Assegurar a presença de um Kerberos principal alias de um serviço usando um livro de jogo possível

download PDF

Em alguns cenários, é benéfico para o administrador da IdM permitir que usuários, hosts ou serviços da IdM se autentiquem contra as aplicações Kerberos usando um pseudônimo principal Kerberos. Estes cenários incluem:

  • O nome do usuário mudou, mas o usuário deve ser capaz de entrar no sistema usando tanto o nome do usuário anterior quanto o do novo usuário.
  • O usuário precisa entrar usando o endereço de e-mail, mesmo que o domínio da IdM Kerberos seja diferente do domínio de e-mail.

Esta seção descreve como criar o principal alias de HTTP/mycompany.idm.example.com para o serviço HTTP em execução no site client.idm.example.com.

Pré-requisitos

Procedimento

  1. Criar um arquivo de inventário, por exemplo inventory.file:

    $ touch inventory.file
  2. Abra o inventory.file e defina o servidor IdM que você deseja configurar na seção [ipaserver]. Por exemplo, para instruir o Ansible a configurar server.idm.example.com, entre:

    [ipaserver]
    server.idm.example.com
  3. Faça uma cópia do arquivo do livro de jogo /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml. Por exemplo:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
  4. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml Um possível arquivo de playbook para edição.
  5. Adapte o arquivo alterando o seguinte:

    • A senha do administrador da IdM especificada pela variável ipaadmin_password.
    • O nome do serviço especificado pela variável name. Este é o nome principal canônico do serviço. No exemplo atual, é HTTP/client.idm.example.com.
    • O Kerberos principal alias especificado pela variável principal. Este é o pseudônimo que você deseja adicionar ao serviço definido pela variável name. No exemplo atual, é host/mycompany.idm.example.com.
    • O nome da tarefa especificada pela variável name na seção tasks.

      Depois de ser adaptado para o exemplo atual, o arquivo copiado tem este aspecto:

    ---
    - name: Service member principal present
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Service HTTP/client.idm.example.com member principals host/mycompany.idm.exmaple.com present
        ipaservice:
          ipaadmin_password: Secret123
          name: HTTP/client.idm.example.com
          principal:
            - host/mycompany.idm.example.com
          action: member
  6. Salvar o arquivo.
  7. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml

Se a execução do playbook resultar em 0 tarefas inalcançáveis e 0 falhas, você criou com sucesso o host/mycompany.idm.example.com Kerberos principal para o serviço HTTP/client.idm.example.com.

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.