23.4. 为智能卡身份验证配置用户名 Hint 策略
作为身份管理管理员,您可以为与多个帐户关联的智能卡配置 用户名提示 策略。
23.4.1. 身份管理中的用户名提示
用户名提示策略将 Identity Management 配置为提示智能卡用户输入其用户名。当用户使用与身份管理中的多个用户帐户匹配的智能卡证书验证时,会出现以下情况之一:
- 如果启用了用户名提示策略,系统会提示用户输入用户名,然后就可以进行身份验证。
- 如果禁用了用户名提示策略,身份验证会在不提示的情况下失败。
身份管理将用户名提示添加到默认提示输入智能卡 PIN 而不要求用户名的应用程序。在 Red Hat Enterprise Linux 中,这仅是 Gnome Desktop Manager(GDM)登录名。
图 23.14. Gnome Desktop Manager 中的用户名提示
默认情况下,身份管理不会将用户名提示添加到要求输入用户名的应用程序中,例如:
- Identity Management Web UI 身份验证,因为 GUI 始终显示
Username
字段 - SSH 身份验证,因为
ssh
-l
选项提供的名称或username@host
格式 - 控制台身份验证,其中提供登录名称
在这些情况下,始终允许使用与多个用户匹配的证书进行身份验证。
23.4.2. 在身份管理中启用用户名提示
Identity Management 管理员会集中设置用户名提示策略。该策略适用于注册到身份管理域中的所有主机。
在任何身份管理系统上执行这些步骤。
命令行:在身份管理中启用用户名提示
- 以 Identity Management 管理员身份登录:
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
- 使用带有
--promptusername=True
选项的 ipa certmapconfig-mod 命令启用用户名提示。$ ipa certmapconfig-mod --promptusername=TRUE Prompt for the username: TRUE
要禁用用户名提示,请使用--promptusername=False
选项。
Web UI:在身份管理中启用用户名提示
- 单击
。 - 选择 Prompt 作为用户名,然后单击 。
图 23.15. 在 Web UI 中启用用户名提示
其它资源
- 有关 ipa certmapconfig-mod 命令的详情,请使用
--help
选项执行它。