23.6. 使用智能卡验证身份管理 Web UI


作为在身份管理服务器中拥有多个角色帐户的 Identity Management 用户,您可以使用智能卡作为所选角色与身份管理 Web UI 进行身份验证。这可让您将 Web UI 用作所选角色。
注意
只有身份管理用户才能使用智能卡登录 Web UI。Active Directory 用户可以使用其用户名和密码登录。详情请查看 第 5.4.2.4 节 “以 AD 用户身份向 IdM Web UI 进行身份验证”
有关配置环境以启用身份验证的详情,请参考:
有关如何验证的详情请参考:

23.6.1. 在 Web UI 中为智能卡身份验证准备身份管理服务器

作为身份管理管理员:
  1. 在身份管理服务器上,创建 shell 脚本来配置服务器。
    1. 使用 ipa-advise config-server-for-smart-card-auth 命令,并将其输出保存到文件中:
      # ipa-advise config-server-for-smart-card-auth > server_smart_card_script.sh
    2. 打开 脚本文件,并检查其内容。
    3. 使用 chmod 实用程序为文件添加执行权限:
      # chmod +x server_smart_card_script.sh
  2. 在 Identity Management 域中的所有服务器上运行 脚本。
  3. 确保已安装 sssd-dbus 软件包。
另外,如果外部证书颁发机构(CA)签署了智能卡中的证书:
  1. 在身份管理服务器中,将 CA 证书添加到 HTTP 服务器使用的 NSS 数据库中:
    # ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem
    # ipa-certupdate
    在所有副本和客户端上重复 ipa-certupdate
  2. 重启 HTTP 服务器和 Kerberos 服务器:
    # systemctl restart httpd
    # systemctl restart krb5kdc
    对所有副本重复这些命令。

23.6.2. 为智能卡身份验证准备浏览器

要配置浏览器以进行智能卡身份验证,请在用户启动 Web 浏览器以访问 Web UI 的客户端上执行这些步骤。浏览器所在的系统不需要是身份管理域的一部分。在此流程中,我们使用 Firefox 浏览器。
  1. 启动 Firefox。
  2. 将 Firefox 配置为从智能卡读取证书。
    1. 选择 Edit Preferences Advanced Certificates Security Devices

      图 23.16. 在 Firefox 中配置安全设备

      在 Firefox 中配置安全设备
    2. 单击 Load。在 Load PKCS the Device 窗口中填写以下信息:
      • 模块名称OpenSC
      • 模块文件名/usr/lib64/opensc-pkcs11.so

      图 23.17. Firefox 中的设备管理器

      Firefox 中的设备管理器
    3. OK 确认。然后单击 OK 以关闭设备管理器。
Firefox 现在可以使用智能卡证书进行验证。

23.6.3. 以身份管理用户身份使用智能卡向身份管理 Web UI 进行身份验证

验证:
  1. 将智能卡插入到智能卡读取器中。
  2. 在浏览器中,导航到位于 https://ipaserver.example.com/ipa/ui 的 Identity Management Web UI。
  3. 如果智能卡证书链接到一个用户帐户,请不要填写 Username 字段。
    如果智能卡证书链接到多个用户帐户,请填写 Username 字段来指定所需的帐户。
  4. 单击 "登录使用证书 "

    图 23.18. 在身份管理 Web UI 中使用证书登录

    在身份管理 Web UI 中使用证书登录
  5. 提示时输入智能卡 PIN。

    图 23.19. 输入智能卡 PIN

    输入智能卡 PIN
  6. 此时会打开一个新窗口,建议使用证书。选择智能卡证书。

    图 23.20. 选择智能卡证书

    选择智能卡证书
您现在作为与智能卡证书对应的用户进行身份验证。
注意
如果管理员重置用户的密码,IdM Web UI 会拒绝访问,直到用户设置新密码,例如,使用 kinit 实用程序。

其它资源

23.6.4. 其它资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.