Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.2. 使用 Ansible 为智能卡验证配置 IdM 服务器

在此过程中,您可以使用 Ansible 为证书是由身份管理(IdM) CA 信任的 <EXAMPLE.ORG> 域的证书颁发机构(CA)发布的用户启用智能卡验证。

先决条件

  • 您有到 IdM 服务器的 root 访问权限。
  • 您需要知道 IdM admin 密码。

  • 您有 root CA 证书、IdM CA 证书和所有中间 CA 证书:

    • 已直接为 <EXAMPLE.ORG> CA 签发证书的 root CA 的证书,或通过一个或多个子 CA 签发。您可以从认证机构发布证书的网页下载证书链。详情请参阅 配置浏览器中的第 4 步以启用证书身份验证
    • IdM CA 证书。您可以从任何 IdM CA 服务器上的 /etc/ipa/ca.crt 文件中获取 CA 证书。
    • 在 <EXAMPLE.ORG> CA 和 IdM CA 之间中间所有 CA 的证书。

  • 您已配置了 Ansible 控制节点以满足以下要求:

    • 您使用 Ansible 版本 2.13 或更高版本。
    • 您已安装 ansible-freeipa 软件包。
    • 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件
    • 示例假定 secret.yml Ansible vault 存储了 ipaadmin_password
  • 目标节点(这是执行 ansible-freeipa 模块的节点)是 IdM 域的一部分,来作为 IdM 客户端、服务器或副本。

流程

  1. 如果您的 CA 证书存储在不同格式的文件中,如 DER,请将其转换为 PEM 格式: 

    # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM
    Copy to Clipboard Toggle word wrap

    IdM 证书颁发机构证书采用 PEM 格式,位于 /etc/ipa/ca.crt 文件中。

  2. 可选:使用 openssl x509 工具查看 PEM 格式的文件内容,以检查 IssuerSubject 值是否正确: 

    # openssl x509 -noout -text -in root-ca.pem | more
    Copy to Clipboard Toggle word wrap

  3. 进入您的 ~/MyPlaybooks/ 目录: 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  4. 创建专用于 CA 证书的子目录: 

    $ mkdir SmartCard/
    Copy to Clipboard Toggle word wrap

  5. 为方便起见,将所有必需的证书复制到 ~/MyPlaybooks/SmartCard/ 目录中: 

    # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
# cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
# cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt
    Copy to Clipboard Toggle word wrap

  6. 在 Ansible 清单文件中,指定以下内容:

    • 要为智能卡验证配置的 IdM 服务器。
    • IdM 管理员密码。

    • CA 的证书路径按以下顺序排列:

      • root CA 证书文件
      • 中间 CA 证书文件
      • IdM CA 证书文件

    该文件可如下所示: 

    [ipaserver]
ipaserver.idm.example.com

[ipareplicas]
ipareplica1.idm.example.com
ipareplica2.idm.example.com

[ipacluster:children]
ipaserver
ipareplicas

[ipacluster:vars]
ipaadmin_password= "{{ ipaadmin_password }}"
ipasmartcard_server_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt
    Copy to Clipboard Toggle word wrap

  7. 使用以下内容创建 install-smartcard-server.yml playbook: 

    ---
- name: Playbook to set up smart card authentication for an IdM server
  hosts: ipaserver
  become: true

  roles:
  - role: ipasmartcard_server
    state: present
    Copy to Clipboard Toggle word wrap
  8. 保存该文件。

  9. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件: 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-server.yml
    Copy to Clipboard Toggle word wrap

    ipasmartcard_server Ansible 角色执行以下操作:

    • 它配置 IdM Apache HTTP 服务器。
    • 它在 KDC(Key Distribution Center)中启用 PKINIT(Public Key Cryptography for Initial Authentication in Kerberos)。
    • 它将 IdM Web UI 配置为接受智能卡授权请求。

  10. 可选: 如果发布用户证书的证书颁发机构不提供任何在线证书状态协议(OCSP)响应程序,您可能需要禁用对 IdM Web UI 进行身份验证的 OCSP 检查:

    1. root 身份连接到 IdM 服务器: 

      ssh root@ipaserver.idm.example.com
      Copy to Clipboard Toggle word wrap

    2. /etc/httpd/conf.d/ssl.conf 文件中将 SSLOCSPEnable 参数设置为 off

      SSLOCSPEnable off
      Copy to Clipboard Toggle word wrap

    3. 重启 Apache 守护进程(httpd)使更改立即生效: 

      # systemctl restart httpd
      Copy to Clipboard Toggle word wrap
    警告

    如果您只使用 IdM CA 发出的用户证书,不要禁用 OCSP 检查。OCSP 响应器是 IdM 的一部分。

    有关如何启用 OCSP 检查的说明,以及如果 IdM 服务器不包含发布用户证书侦听 OCSP 服务请求的位置信息,请参阅 Apache mod_ssl 配置选项 中的 SSLOCSPDefaultResponder 指令。

清单文件中列出的服务器现在被配置为智能卡验证。

注意

要在整个拓扑中启用智能卡验证,请将 Ansible playbook 中的 hosts 变量设置为 ipacluster

---
- name: Playbook to setup smartcard for IPA server and replicas
  hosts: ipacluster
[...]
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat