第 69 章 使用存储在 IdM 客户端桌面的证书配置身份验证
通过配置身份管理(IdM),IdM 系统管理员可以使用向用户签发的证书颁发机构(CA)的证书,使用户能够向 IdM Web UI 和命令行界面(CLI)进行身份验证。证书存储在 IdM 客户端的桌面上。
Web 浏览器可以在不属于 IdM 域的系统中运行。
在使用证书配置身份验证时请注意以下几点:
- 如果您要使用证书进行身份验证的用户已有证书,则您可以跳过 请求新的用户证书并将其导出到客户端 ;
- 如果用户的证书已由 IdM CA 发布了,则您可以跳过 确保证书和用户链接在一起。
只有身份管理用户可以使用证书登录 Web UI。Active Directory 用户可使用其用户名和密码登录。
69.1. 在 Web UI 中为证书验证配置身份管理服务器
作为身份管理(IdM)管理员,您可以允许用户使用证书为您的 IdM 环境进行身份验证。
流程
作为身份管理管理员:
在身份管理服务器上,获取管理员特权并创建 shell 脚本来配置服务器。
运行
ipa-advise config-server-for-smart-card-auth
命令,并将其输出保存到文件中,如server_certificate_script.sh
:# kinit admin # ipa-advise config-server-for-smart-card-auth >
server_certificate_script.sh
使用
chmod
实用程序为文件添加执行权限:# chmod +x
server_certificate_script.sh
在 Identity Management 域中的所有服务器上,运行
server_certificate_script.sh
脚本使用 IdM 证书颁发机构证书的路径
/etc/ipa/ca.crt
,因为如果 IdM CA 是唯一签发了您要为其启用证书验证的用户证书的证书颁发机构:#
./server_certificate_script.sh
/etc/ipa/ca.crt
如果不同的外部 CA 签署您想要为其启用证书验证的用户证书,则使用路径作为输入:
#
./server_certificate_script.sh
/tmp/ca1.pem
/tmp/ca2.pem
如果要为整个拓扑中启用用户的证书身份验证,请不要忘记在将来添加到系统的每个新副本上运行 脚本。