Capítulo 60. Usando nomes de hosts DNS canonicalizados na IdM
A canonicalização do DNS é desativada por padrão nos clientes de Gerenciamento de Identidade (IdM) para evitar riscos potenciais de segurança. Por exemplo, se um atacante controla o servidor DNS e um host no domínio, o atacante pode fazer com que o nome de host curto demo
seja resolvido para malicious.example.com
. Neste caso, o usuário se conecta a um servidor diferente do esperado.
Esta seção descreve como usar nomes de host canonicalizados nos clientes da IdM.
60.1. Adicionando um pseudônimo a um diretor anfitrião
Por padrão, os clientes de Gerenciamento de Identidade (IdM) inscritos através do comando ipa-client-install
não permitem o uso de nomes de host curtos nos princípios de serviço. Por exemplo, os usuários podem usar apenas host/demo.example.com@EXAMPLE.COM
ao invés de host/demo@EXAMPLE.COM
ao acessar um serviço.
Esta seção explica como adicionar um pseudônimo a um diretor Kerberos. Note que você pode, alternativamente, ativar a canonização dos nomes dos anfitriões no arquivo /etc/krb5.conf
. Para detalhes, veja Seção 60.2, “Permitindo a canonicalização de nomes de anfitriões em princípios de serviço em clientes”.
Pré-requisitos
- O cliente IdM é instalado.
- O nome do anfitrião é único na rede.
Procedimento
Autenticar-se na IdM como usuário do
admin
:$ parentes admin
Acrescente o pseudônimo ao principal anfitrião. Por exemplo, para adicionar o pseudônimo
demo
ao principal anfitriãodemo.examle.com
:$ ipa host-add-principal demo.example.com --principal=demo