主页
产品
Red Hat Enterprise Linux
10
访问身份管理服务
7.3. 在 IdM 中为 OTP 验证配置 RADIUS 服务器

7.3. 在 IdM 中为 OTP 验证配置 RADIUS 服务器

要启用从专有一次性密码(OTP)解决方案到身份管理(IdM)原生 OTP 解决方案的大型部署的迁移，IdM 为用户的子集提供了一种将 OTP 验证卸载到第三方 RADIUS 服务器的方法。管理员创建一组 RADIUS 代理，其中每个代理只能引用一个 RADIUS 服务器。如果需要寻址多个服务器，建议创建一个指向多个 RADIUS 服务器的虚拟 IP 解决方案。

例如，此类解决方案必须在 keepalived 守护进程的帮助下，在 RHEL IdM 外部构建。然后，管理员将这些代理集中的一个分配给用户。只要用户分配了 RADIUS 代理集，IdM 就会绕过所有其他身份验证机制。

注意

IdM 不为第三方系统中的令牌提供任何令牌管理或同步支持。

完成流程，来为 OTP 验证配置一个 RADIUS 服务器，并将用户添加到代理服务器中：

先决条件

radius 用户验证方法已启用。详情请参阅在 Web UI 中启用一次性密码。

流程

添加一个 RADIUS 代理：
```
ipa radiusproxy-add proxy_name --secret secret
```
```
$ ipa radiusproxy-add proxy_name --secret secret
```
Copy to Clipboard
命令提示您输入所需的信息。
RADIUS 代理的配置需要使用客户端和服务器之间的通用 secret 来包装凭证。在 --secret 参数中指定此 secret。

将用户分配给添加的代理：

ipa user-mod radiususer --radius=proxy_name

ipa user-mod radiususer --radius=proxy_name

Copy to Clipboard

如果需要，配置要发送到 RADIUS 的用户名：

ipa user-mod radiususer --radius-username=radius_user

ipa user-mod radiususer --radius-username=radius_user

Copy to Clipboard

因此，RADIUS 代理服务器开始处理用户 OTP 身份验证。

当用户准备好迁移到 IdM 原生 OTP 系统时，您可以简单地删除分配给用户的 RADIUS 代理。

7.3.1. 在较慢的网络中运行 RADIUS 服务器时更改 KDC 的超时值

在某些情况下，比如在较慢的网络中运行 RADIUS 代理，身份管理(IdM) Kerberos 分发中心(KDC)会在 RADIUS 服务器响应前关闭连接，因为在等待用户输入令牌时连接超时。

要更改 KDC 的超时设置：

更改 /var/kerberos/krb5kdc/kdc.conf 文件中 [otp] 部分中 timeout 参数的值。例如，要将超时设置为 120 秒：
```
[otp]
DEFAULT = {
  timeout = 120
  ...
}
```
```
[otp]
DEFAULT = {
  timeout = 120
  ...
}
```
Copy to Clipboard

重启 krb5kdc 服务：

systemctl restart krb5kdc

# systemctl restart krb5kdc

Copy to Clipboard

返回顶部

7.3. 在 IdM 中为 OTP 验证配置 RADIUS 服务器

7.3.1. 在较慢的网络中运行 RADIUS 服务器时更改 KDC 的超时值

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links