Capítulo 33. Gerenciando as políticas de ingressos da Kerberos
As políticas de bilhetes Kerberos em Gerenciamento de Identidade (IdM) estabelecem restrições ao acesso, duração e renovação dos bilhetes Kerberos. Você pode configurar as políticas de bilhetes Kerberos para o Key Distribution Center (KDC) rodando no seu servidor IdM.
Este capítulo apresenta os seguintes tópicos e tarefas de gerenciamento de bilhetes Kerberos:
- O papel da IdM KDC
- Tipos de política de bilhetes da IdM Kerberos
- Indicadores de autenticação Kerberos
- Aplicação de indicadores de autenticação para um serviço IdM
- Configurando a política global do ciclo de vida dos bilhetes
- Configuração de políticas de bilhetes globais por indicador de autenticação
- Configurando a política padrão de bilhetes para um usuário
- Configuração de políticas de bilhetes indicadores de autenticação individuais para um usuário
-
Opções de indicadores de autenticação para o comando
krbtpolicy-mod
33.1. O papel da IdM KDC
Os mecanismos de autenticação da Gerência de Identidade utilizam a infra-estrutura Kerberos estabelecida pelo Key Distribution Center (KDC). O KDC é a autoridade confiável que armazena informações de credenciais e garante a autenticidade dos dados provenientes de entidades dentro da rede IdM.
Cada usuário, serviço e host da IdM atua como um cliente Kerberos e é identificado por um único Kerberos principal:
-
Para usuários:
identifier@REALM
, tais comoadmin@EXAMPLE.COM
-
Para serviços:
service/fully-qualified-hostname@REALM
, tais comohttp/master.example.com@EXAMPLE.COM
-
Para anfitriões:
host/fully-qualified-hostname@REALM
, tais comohost/client.example.com@EXAMPLE.COM
A seguinte imagem é uma simplificação da comunicação entre um cliente Kerberos, o KDC, e uma aplicação Kerberizada com a qual o cliente deseja se comunicar.
-
Um cliente Kerberos se identifica com o KDC autenticando-se como um diretor Kerberos. Por exemplo, um usuário da IdM realiza
kinit username
e fornece sua senha. - O KDC verifica o principal em seu banco de dados, autentica o cliente e avalia as políticas de ingressos da Kerberos para determinar se o pedido deve ser atendido.
- O KDC emite ao cliente um ticket de concessão de bilhetes (TGT) com um ciclo de vida e indicadores de autenticação de acordo com a política de bilhetes apropriada.
- Com o TGT, o cliente solicita um service ticket do KDC para se comunicar com um serviço Kerberized em um host alvo.
- O KDC verifica se o TGT do cliente ainda é válido, e avalia a solicitação de bilhetes de serviço em relação às políticas de bilhetes.
- O KDC emite ao cliente um service ticket.
- Com o bilhete de serviço, o cliente pode iniciar uma comunicação criptografada com o serviço no host alvo.