6.5. 为 Kerberos 身份验证配置外部系统
按照以下流程配置外部系统,以便身份管理(IdM)用户可以使用他们的 Kerberos 凭证从外部系统登录到 IdM。
当您的基础架构包含多个域或重叠域时,在外部系统上启用 Kerberos 身份验证非常有用。如果系统尚未通过 ipa-client-install 注册到任何 IdM 域,它也很有用。
要从不属于 IdM 域成员的系统启用对 IdM 的 Kerberos 身份验证,请在外部系统上定义特定于 IdM 的 Kerberos 配置文件。
先决条件
krb5-workstation软件包已安装在外部系统上。要查找是否安装了该软件包,请使用以下 CLI 命令:
# dnf list installed krb5-workstation Installed Packages krb5-workstation.x86_64 1.16.1-19.el8 @BaseOS
流程
将
/etc/krb5.conf文件从 IdM 服务器复制到外部系统。例如:# scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf警告不要覆盖外部系统上现有的
krb5.conf文件。在外部系统上,将终端会话设置为使用复制的 IdM Kerberos 配置文件:
$ export KRB5_CONFIG=/etc/krb5_ipa.confKRB5_CONFIG变量仅在退出之前暂时存在。要防止其丢失,请使用其他文件名导出变量。-
将 Kerberos 配置代码段从
/etc/krb5.conf.d/目录复制到外部系统。 - 在外部系统上配置浏览器,如 为 Kerberos 身份验证配置浏览器 中所述。
外部系统上的用户现在可以使用 kinit 工具对 IdM 服务器进行身份验证。
