7.4. 在 IdM 中为 OTP 验证配置 RADIUS 服务器
要启用从专用一次性密码(OTP)解决方案到身份管理(IdM)原生 OTP 解决方案的大型部署的迁移,IdM 提供了为用户子集将 OTP 验证卸载到的第三方 RADIUS 服务器的方法。管理员创建了一组 RADIUS 代理,其中每个代理只能引用一个 RADIUS 服务器。如果需要寻址多个服务器,建议创建一个指向多个 RADIUS 服务器的虚拟 IP 解决方案。
例如,此类解决方案必须在 RHEL IdM 外部构建,例如,在 keepalived
守护进程的帮助下。然后,管理员将这些代理集中的一个分配给用户。只要用户分配了 RADIUS 代理集,IdM 就会绕过所有其他身份验证机制。
IdM 不为第三方系统中的令牌提供任何令牌管理或同步支持。
完成流程,来为 OTP 验证配置 RADIUS 服务器,并将用户添加到代理服务器:
先决条件
- radius 用户验证方法已启用。详情请参阅 在 Web UI 中启用一次性密码。
流程
添加一个 RADIUS 代理:
$ ipa radiusproxy-add proxy_name --secret secret
命令提示您插入所需的信息。
RADIUS 代理的配置需要在客户端和服务器之间使用通用 secret 来包装凭证。在
--secret
参数中指定此 secret。向添加的代理分配用户:
ipa user-mod radiususer --radius=proxy_name
如果需要,配置要发送到 RADIUS 的用户名:
ipa user-mod radiususer --radius-username=radius_user
因此,RADIUS 代理服务器开始处理用户 OTP 身份验证。
当用户准备好迁移到 IdM 原生 OTP 系统时,您可以简单地删除用户的 RADIUS 代理分配。
7.4.1. 在较慢的网络中运行 RADIUS 服务器时更改 KDC 的超时值
在某些情况下,比如在较慢的网络中运行 RADIUS 代理,身份管理(IdM) Kerberos 分发中心(KDC)会在 RADIUS 服务器响应前关闭连接,因为在等待用户输入令牌过程中连接超时。
要更改 KDC 的超时设置:
更改
/var/kerberos/krb5kdc/kdc.conf
文件中[otp]
部分中timeout
参数的值。例如,要将超时设置为120
秒:[otp] DEFAULT = { timeout = 120 ... }
重启
krb5kdc
服务:# systemctl restart krb5kdc
其它资源