第 11 章 使用存储在 IdM 客户端中的证书配置身份验证
通过配置身份管理(IdM),IdM 系统管理员允许使用一个 CA 向用户发布的证书,通过 IdM Web UI 和命令行界面(CLI)进行身份验证。证书存储在 IdM 客户端的桌面上。
Web 浏览器可以在不属于 IdM 域的系统上运行。
在使用证书配置身份验证时请注意以下几点:
- 如果您要使用证书进行身份验证的用户已有证书,则您可以跳过 请求新的用户证书并将其导出到客户端 ;
- 如果用户的证书已由 IdM CA 发布了,则您可以跳过 确保证书和用户链接在一起。
只有身份管理用户可以使用证书登录 Web UI。Active Directory 用户可以使用其用户名和密码登录。
11.1. 在 Web UI 中为证书验证配置身份管理服务器
作为 Identity Management(IdM)管理员,您可以允许用户使用证书来向 IdM 环境进行身份验证。
步骤
作为身份管理管理员:
在身份管理服务器上,获取管理员特权并创建 shell 脚本来配置服务器。
运行
ipa-advise config-server-for-smart-card-auth命令,并将其输出保存到一个文件中,例如server_certificate_script.sh:# kinit admin # ipa-advise config-server-for-smart-card-auth >
server_certificate_script.sh使用
chmod实用程序向该文件添加执行权限:# chmod +x
server_certificate_script.sh
在 Identity Management 域中的所有服务器上,运行
server_certificate_script.sh脚本如果 IdM CA 是唯一一个您允许向用户签发证书用于验证的 CA,使用 IdM Certificate Authority 证书
/etc/ipa/ca.crt的路径:#
./server_certificate_script.sh/etc/ipa/ca.crt如果不同的外部 CA 签署了您要启用证书身份验证的用户的证书,则导致相关 CA 证书的路径作为输入:
#
./server_certificate_script.sh/tmp/ca1.pem/tmp/ca2.pem
如果您想为整个拓扑中启用的用户认证,请不要忘记在添加到系统的每个新副本上运行脚本。
