第 9 章 在 IdM 中使用规范的 DNS 主机名
在 Identity Management(IdM)客户端上默认禁用 DNS 规范,以避免潜在的安全风险。例如,如果攻击者控制域中 DNS 服务器和主机,攻击者可能会导致短主机名(如 demo
)解析到被入侵的主机,如 malicious.example.com
。在这种情况下,用户连接到不同于预期的服务器。
这个流程描述了如何在 IdM 客户端上使用规范化主机名。
9.1. 在主机主体中添加别名
默认情况下,使用 ipa-client-install
命令注册身份管理(IdM)客户端不允许在服务主体中使用短主机名。例如,用户只能在访问服务时只使用 host/demo.example.com@EXAMPLE.COM
而不是主机 /demo@EXAMPLE.COM
。
按照以下流程,向 Kerberos 主体中添加别名。请注意,您可以在 /etc/krb5.conf
文件中启用主机名规范。详情请参阅 在客户端上的服务主体中启用主机名规范。
先决条件
- 已安装 IdM 客户端。
- 主机名在 网络中是唯一的。
步骤
以
admin
用户身份向 IdM 进行身份验证:$ kinit admin
向主机主体中添加别名。例如,将演示别名添加到
demo
.examle.com
主机主体中:$ ipa host-add-principal demo.example.com --principal=demo