3.2. IdM 服务器和客户端简介


Identity Management (IdM) 域包括以下类型的系统:

IdM 客户端

IdM 客户端是注册了服务器的 Red Hat Enterprise Linux 系统,并配置为使用这些服务器中的 IdM 服务。

客户端与 IdM 服务器交互来访问由它们提供的服务。例如,客户端使用 Kerberos 协议来执行身份验证并获取企业单点登录(SSO)的票据,使用 LDAP 获取身份和策略信息,并使用 DNS 检测服务器和服务所处的位置以及如何连接它们。

IdM 服务器

IdM 服务器是响应 IdM 域中 IdM 客户端的身份、身份验证和授权请求的 Red Hat Enterprise Linux 系统。IdM 服务器是身份和策略信息的中央仓库。它们也可以托管域成员使用的任何可选服务:

  • 证书颁发机构 (CA):该服务存在于大多数 IdM 部署中。
  • 密钥恢复授权中心 (KRA)
  • DNS
  • Active Directory (AD) 信任控制器
  • Active Directory (AD) 信任代理

IdM 服务器也是嵌入式 IdM 客户端。与自己注册的客户端一样,服务器可以提供与其他客户端相同的功能。

为了为大量客户端以及冗余和可用性提供服务,IdM 允许在单一域中的多个 IdM 服务器中进行部署。可以部署最多 60 个服务器。这是 IdM 域中目前支持的最大 IdM 服务器数,也称为副本。

在创建副本时,IdM 会克隆现有服务器的配置。副本与初始服务器的核心配置共享,包括有关用户、系统、证书和配置策略的内部信息。

注意
除了 CA renewalCRL publisher 角色外,副本和从中创建副本的服务器的功能完全相同。因此,根据上下文,在 RHEL IdM 文档中可以互换使用 serverreplica

但是,如果配置了客户端,不同的 IdM 服务器可以为客户端提供不同的服务。每台服务器上都提供了 Kerberos 和 LDAP 等核心组件。CA、DNS、Trust Controller 或 Vault 等其它服务都是可选的。这意味着不同的 IdM 服务器可以在部署中有不同的角色。

如果您的 IdM 拓扑包含一个集成的 CA,则一个服务器具有证书撤销列表 (CRL) publisher 服务器的角色,一个服务器则拥有 CA 续订服务器的角色。

默认情况下,安装的第一个 CA 服务器承担这两个角色,但您可以将这些角色分配到单独的服务器。

警告

CA 续订服务器对您的 IdM 部署至关重要,因为它是负责跟踪 CA 子系统证书和密钥的域中的唯一系统。有关如何从影响您的 IdM 部署的灾难中恢复的详情,请参阅使用身份管理执行灾难恢复

注意
所有 IdM 服务器(对于客户端,请参阅安装 IdM 客户端的 RHEL支持的版本)都必须在相同的 RHEL 主版本和次版本中运行。不要在拓扑中使用超过几天应用 z-stream 更新或升级 IdM 服务器。有关如何应用 Z-stream 修复和升级服务器的详情,请参阅更新 IdM 软件包。有关如何在 RHEL 8 上迁移到 IdM 的详情,请参考 将 IdM 环境从 RHEL 7 服务器迁移到 RHEL 8 服务器
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.