7.9. 以 OTP 或 RADIUS 用户身份检索一个 IdM 票据授予票据
要以 OTP 用户身份检索一个 Kerberos 票据授予票据(TGT),请请求一个匿名 Kerberos 票据,并通过 Secure Tunneling (FAST)通道启用 Flexible Authentication,以便在 Kerberos 客户端和 Kerberos 分发中心(KDC)之间提供一个安全连接。
先决条件
- 您的 IdM 客户端和服务器使用 RHEL 9.1 或更高版本。
- 您的 IdM 客户端和服务器使用 SSSD 2.7.0 或更高版本。
- 您已为所需用户帐户启用了 OTP。
流程
运行以下命令来初始化凭证缓存:
[root@client ~]# kinit -n @IDM.EXAMPLE.COM -c FILE:armor.ccache
请注意,这个命令会创建
armor.ccache
文件,每当请求一个新的 Kerberos 票据时,您需要指向该文件。运行以下命令来请求一个 Kerberos 票据:
[root@client ~]# kinit -T FILE:armor.ccache <username>@IDM.EXAMPLE.COM Enter your OTP Token Value.
验证
显示您的 Kerberos 票据信息:
[root@client ~]# klist -C Ticket cache: KCM:0:58420 Default principal: <username>@IDM.EXAMPLE.COM Valid starting Expires Service principal 05/09/22 07:48:23 05/10/22 07:03:07 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes 08/17/2022 20:22:45 08/18/2022 20:22:43 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 141
pa_type = 141
表示 OTP/RADIUS 身份验证。