23.6. 使用智能卡验证身份管理 Web UI
作为在身份管理服务器中拥有多个角色帐户的 Identity Management 用户,您可以使用智能卡作为所选角色与身份管理 Web UI 进行身份验证。这可让您将 Web UI 用作所选角色。
注意
只有身份管理用户才能使用智能卡登录 Web UI。Active Directory 用户可以使用其用户名和密码登录。详情请查看 第 5.4.2.4 节 “以 AD 用户身份向 IdM Web UI 进行身份验证”。
有关配置环境以启用身份验证的详情,请参考:
有关如何验证的详情请参考:
23.6.1. 在 Web UI 中为智能卡身份验证准备身份管理服务器
作为身份管理管理员:
- 在身份管理服务器上,创建 shell 脚本来配置服务器。
- 使用 ipa-advise config-server-for-smart-card-auth 命令,并将其输出保存到文件中:
# ipa-advise config-server-for-smart-card-auth > server_smart_card_script.sh
- 打开 脚本文件,并检查其内容。
- 使用
chmod
实用程序为文件添加执行权限:# chmod +x server_smart_card_script.sh
- 在 Identity Management 域中的所有服务器上运行 脚本。
- 确保已安装 sssd-dbus 软件包。
另外,如果外部证书颁发机构(CA)签署了智能卡中的证书:
- 在身份管理服务器中,将 CA 证书添加到 HTTP 服务器使用的 NSS 数据库中:
# ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem # ipa-certupdate
在所有副本和客户端上重复ipa-certupdate
。 - 重启 HTTP 服务器和 Kerberos 服务器:
# systemctl restart httpd # systemctl restart krb5kdc
对所有副本重复这些命令。
23.6.2. 为智能卡身份验证准备浏览器
要配置浏览器以进行智能卡身份验证,请在用户启动 Web 浏览器以访问 Web UI 的客户端上执行这些步骤。浏览器所在的系统不需要是身份管理域的一部分。在此流程中,我们使用 Firefox 浏览器。
- 启动 Firefox。
- 将 Firefox 配置为从智能卡读取证书。
- 选择
图 23.16. 在 Firefox 中配置安全设备
- 单击 Load PKCS the Device 窗口中填写以下信息:。在
- 模块名称 :
OpenSC
- 模块文件名 :
/usr/lib64/opensc-pkcs11.so
图 23.17. Firefox 中的设备管理器
- 点确认。然后单击 以关闭设备管理器。
Firefox 现在可以使用智能卡证书进行验证。
23.6.3. 以身份管理用户身份使用智能卡向身份管理 Web UI 进行身份验证
验证:
- 将智能卡插入到智能卡读取器中。
- 在浏览器中,导航到位于
https://ipaserver.example.com/ipa/ui
的 Identity Management Web UI。 - 如果智能卡证书链接到一个用户帐户,请不要填写 Username 字段。如果智能卡证书链接到多个用户帐户,请填写 Username 字段来指定所需的帐户。
- 单击"
图 23.18. 在身份管理 Web UI
- 提示时输入智能卡 PIN。
图 23.19. 输入智能卡 PIN
- 此时会打开一个新窗口,建议使用证书。选择智能卡证书。
图 23.20. 选择智能卡证书
您现在作为与智能卡证书对应的用户进行身份验证。
注意
如果管理员重置用户的密码,IdM Web UI 会拒绝访问,直到用户设置新密码,例如,使用 kinit 实用程序。
其它资源
- 如果身份验证失败,请参阅 第 A.4 节 “调查智能卡身份验证失败”。
23.6.4. 其它资源
- 有关身份管理 Web UI 的详情,请参考 第 5.4 节 “The IdM Web UI”。