红帽全球峰会第 26 章 Identity Management
身份管理(IdM)为标准定义的常见网络服务提供了一个统一环境,包括 PAM、LDAP、Kerberos、DNS、NTP 和证书服务。IdM 允许 Red Hat Enterprise Linux 系统充当域控制器。[25]
在 Red Hat Enterprise Linux 中,ipa-server 软件包提供 IdM 服务器。输入以下命令查看是否安装了 ipa-server 软件包:
~]$ rpm -q ipa-server
package ipa-server is not installed
如果没有安装,以 root 用户身份输入以下命令安装它:
~]# yum install ipa-server
26.1. Identity Management 和 SELinux
身份管理可以将 IdM 用户映射到每个主机所配置的 SELinux 角色,从而能够为 IdM 访问权限指定 SELinux 上下文。在用户登录过程中,系统安全服务守护进程(
SSSD)查询为特定 IdM 用户定义的访问权限。然后 pam_selinux 模块向内核发送请求,以根据 IdM 访问权限启动具有适当 SELinux 上下文的用户进程,如 guest_u:guest_r:guest_t:s0。
有关身份管理和 SELinux 的更多信息,请参阅 Red Hat Enterprise Linux 7 的 Linux 域、身份、身份验证和策略指南。
26.1.1. 对 Active Directory 域的信任
在以前的 Red Hat Enterprise Linux 版本中,身份管理使用
WinSync 工具来允许 Active Directory (AD)域中的用户访问存储在 IdM 域中的数据。要做到这一点,WinSync 必须将用户和组数据从 AD 服务器复制到本地服务器,并保持数据同步。
在 Red Hat Enterprise Linux 7 中,
SSSD 守护进程已被改进,与 AD 一起工作,用户可以在 IdM 和 AD 域间创建可信关系。用户和组数据直接从 AD 服务器读取。另外,提供 Kerberos 跨域信任,允许 AD 和 IdM 域间的单点登录(SSO)身份验证。如果设置了 SSO,来自 AD 域的用户可以访问存储在 IdM 域中无需密码的 Kerberos 保护的数据。
默认情况下不安装此功能。要使用它,请安装额外的 ipa-server-trust-ad 软件包。
