5.3.2.2. 需要 Kerberos 单点登录 IdM 客户端

如果您需要 Kerberos 单点登录才能访问 IdM 客户端上的资源，客户端必须位于 IdM DNS 域中，如 idm-client.idm.example.com。您必须在 ActiveActive Directorynbsp 中创建 CNAME 记录 idm-client.ad.example.com ；Directory DNS 域指向 IdM 客户端的 A/AAAA 记录。

对于基于 Kerberos 的应用程序服务器，MIT Kerberos 支持一种方法，允许接受应用的 key 选项卡中任何基于主机的主体。要禁用对将 Kerberos 主体作为 Kerberos 服务器的目标的严格检查，请在 /etc/krb5.conf 配置文件的 [libdefaults] 部分中设置以下选项：

ignore_acceptor_hostname = true

处理 SSL 证书

基于 SSL 的服务需要一个包含所有系统主机名的 dNSName 扩展记录的证书，因为证书中必须同时存在原始(A/AAAA)和 CNAME 记录。目前，IdM 只发布证书来托管 IdM 数据库中的对象。

在没有可用单点登录的设置中，IdM 在数据库中已具有 FQDN 的主机对象，certmonger 可以为此名称请求证书 ：

创建新主机对象：
```
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
```
使用 --force 选项，因为主机名是 CNAME，而不是 A/AAAA 记录。

允许 IdM DNS 主机名管理 IdM 数据库中的 ActiveActive Directorynbsp;Directory 主机条目：

[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
      --hosts=idm-client.idm.example.com

通过这个设置，IdM 客户端可以在 ActiveActive Directorynbsp 中为其主机名请求带有 dNSName 扩展记录的 SSL 证书；Directory DNS 域：

[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

5.3.2.2. 需要 Kerberos 单点登录 IdM 客户端

处理 SSL 证书

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links