7.4. 在 IdM 中为 OTP 验证配置 RADIUS 服务器
要启用从专有一次性密码(OTP)解决方案迁移到身份管理(IdM)原生的 OTP 解决方案的大型部署,IdM 提供了一种将 OTP 验证卸载到用户子集的第三方 RADIUS 服务器的方法。管理员创建一组 RADIUS 代理,其中每个代理只能引用一个 RADIUS 服务器。如果需要寻址多个服务器,建议创建一个指向多个 RADIUS 服务器的虚拟 IP 解决方案。
例如,此类解决方案必须在 keepalived
守护进程的帮助下,在 RHEL IdM 之外构建。然后,管理员将这些代理集中的一个分配给用户。只要用户分配了 RADIUS 代理集,IdM 就会绕过所有其他身份验证机制。
IdM 不为第三方系统中的令牌提供任何令牌管理或同步支持。
完成流程,来为 OTP 验证配置 RADIUS 服务器,并将用户添加到代理服务器中:
先决条件
- radius 用户验证方法已启用。详情请参阅 在 Web UI 中启用一次性密码。
流程
添加 RADIUS 代理:
$ ipa radiusproxy-add proxy_name --secret secret
命令提示您插入所需的信息。
RADIUS 代理的配置需要在客户端和服务器之间使用通用 secret 来包装凭证。在
--secret
参数中指定此 secret。将用户分配给添加的代理:
ipa user-mod radiususer --radius=proxy_name
如果需要,配置要发送到 RADIUS 的用户名:
ipa user-mod radiususer --radius-username=radius_user
因此,RADIUS 代理服务器开始处理用户 OTP 身份验证。
当用户准备好迁移到 IdM 原生 OTP 系统时,您可以简单地删除用户的 RADIUS 代理分配。
7.4.1. 当在较慢的网络中运行 RADIUS 服务器时,更改 KDC 的超时值
在某些情况下,比如在较慢的网络中运行 RADIUS 代理,身份管理(IdM) Kerberos 分发中心(KDC)会在 RADIUS 服务器响应前关闭连接,因为在等待用户输入令牌时连接超时了。
要更改 KDC 的超时设置:
更改
/var/kerberos/krb5kdc/kdc.conf
文件中[otp]
部分中timeout
参数的值。例如,要将超时设置为120
秒:[otp] DEFAULT = { timeout = 120 ... }
重启
krb5kdc
服务:# systemctl restart krb5kdc
其他资源
- 如何在 FIPS 模式中配置 FreeRADIUS 身份验证 (红帽知识库)