1.6. IdM 术语
- Active Directory 林(forest)
- Active Directory (AD) 林是由一个或多个域树组成的集合,共享一个通用的全局目录、目录架构、逻辑结构和目录配置。林(forest)代表了可以访问用户、计算机、组和其他对象的安全边界。如需更多信息,请参阅微软的林文档
- Active Directory 全局目录
- 全局目录是活动目录(AD)的一项功能,允许域控制器提供有关林中任何对象的信息,无论对象是否是域控制器域的成员。启用全局目录功能的域控制器称为全局目录服务器。全局目录为多域 Active Directory Domain Services (AD DS) 中每个域中的所有对象提供一个可搜索的目录。
- Active Directory 安全标识符
- 安全标识符 (SID) 是分配给 Active Directory 中对象的唯一 ID 编号,如用户、组或主机。它在功能上等同于 Linux 中的 UID 和 GID。
- Ansible play
- Ansible play 是 Ansible playbook 的构建块。Play 的目标是将一组主机映射到由 Ansible 任务表示的一些定义良好的角色。
- Ansible playbook
- Ansible playbook 是包含一个或多个 Ansible play 的文件。如需更多信息,请参阅有关 playbook 的官方 Ansible 文档。
- Ansible 任务
- Ansible 任务是 Ansible 中的操作单元。一个 Ansible play 可以包含多个任务。每个任务的目标是使用非常具体的参数执行模块。Ansible 任务是一组可通过特定 Ansible 角色或模块实现广泛定义状态的指令,并根据角色或模块的变量进行调优。如需更多信息,请参阅官方 Ansible 任务文档。
- Apache Web 服务器
-
Apache HTTP 服务器(统称为 Apache)是一个免费的、开源的跨平台 Web 服务器应用程序,根据 Apache License 2.0 的条款发布。Apache 在万维网的初始成长中发挥了关键作用,目前是领先的 HTTP 服务器。其进程名称为
httpd,是 HTTP daemon 的缩写。红帽身份管理(IdM)使用 Apache Web 服务器来显示 IdM Web UI,并协调组件之间的通信,如目录服务器和证书颁发机构等。 - 证书
- 证书是一个电子文件,用于识别个人、服务器、公司或其他实体并将该身份与公钥关联。比如某个驱动程序的许可或论坛,证书可提供个人身份的可识别验证。公钥加密使用证书来解决身份模拟问题。
- IdM 中的证书颁发机构(CA)
发布数字证书的实体。在 Red Hat Identity Management 中,主 CA 是
ipa,IdM CA。ipaCA 证书是以下类型之一:-
自签名。在本例中,
ipaCA 是 root CA。 -
外部签名。在这种情况下,
ipaCA 会从属到外部 CA。
在 IdM 中,您还可以创建多个 子 CA(sub-CA)。子 CA 是其证书是以下类型之一的 IdM CA:
-
由
ipaCA 签名。 -
由自身和
ipaCA 之间的任意中间 CA 签名。子 CA 的证书不能是自签名的。
另请参阅 规划您的 CA 服务。
-
自签名。在本例中,
- 跨林信任
在两个 Kerberos 域间建立一个信任的访问关系,允许一个域中的用户和服务访问另一个域中的资源。
通过 Active Directory (AD) 林根域和 IdM 域间的跨林信任,来自 AD 林域中的用户可以与 IdM 域中的 Linux 机器和服务交互。从 AD 的角度来看,身份管理代表一个独立的 AD 域。如需更多信息,请参阅信任会如何工作。
- 目录服务器
- 目录服务器集中管理用户身份和应用程序信息。它提供独立于操作系统、基于网络的注册表,用于存储应用程序设置、用户配置文件、组数据、策略和访问控制信息。网络上的每个资源都被目录服务器视为一个对象。有关特定资源的信息存储为与该资源或对象相关联的属性集合。红帽目录服务器符合 LDAP 标准。
- DNS PTR 记录
- DNS 指针 (PTR) 记录将主机的 IP 地址解析为域或主机名。PTR 记录与 DNS A 和 AAAA 记录(将主机名解析为 IP 地址)相反。DNS PTR 记录启用反向 DNS 查找。PTR 记录存储在 DNS 服务器上。
- DNS SRV 记录
- DNS 服务 (SRV) 记录定义域中可用服务的主机名、端口号、传输协议、优先级和权重。您可以使用 SRV 记录来定位 IdM 服务器和副本。
- 域控制器 (DC)
- 域控制器 (DC) 是响应域中安全身份验证请求的主机,并且控制对该域中资源的访问。IdM 服务器作为 IdM 域的 DC 工作。DC 验证用户、存储用户帐户信息,以及实施域的安全策略。当用户登录某个域时,DC 会检查并验证其凭据并允许或拒绝访问。
- 完全限定域名
完全限定域名 (FQDN) 是一个域名,用于指定主机在域名系统 (DNS) 层次结构中的确切位置。在父域
example.com中具有主机名myhost的设备具有 FQDNmyhost.example.com。通过 FQDN 可以将设备与其他域中名为myhost的任何其他主机区分开来。如果您使用 DNS 自动发现在主机
machine1上安装 IdM 客户端,并且正确配置了 DNS 记录,则需要machine1的 FQDN。如需更多信息,请参阅 IdM 的主机名和 DNS 要求。- GSSAPI
通用安全服务应用程序接口(GSSAPI 或 GSS-API)使开发人员能够抽象其应用程序是如何保护发送到对等应用程序的数据。安全服务提供商可以将常见流程调用的 GSSAPI 实现作为其安全软件的库来提供。这些库为那些编写只使用独立于供应商的 GSSAPI 来编写应用程序的人提供了一个兼容 GSSAPI 的接口。凭借这种灵活性,开发人员不必针对任何特定平台、安全机制、保护类型或传输协议量身定制其安全实现。
Kerberos 是主流的 GSSAPI 机制实施,它允许 Red Hat Enterprise Linux 和 Microsoft Windows Active Directory Kerberos 实现与 API 兼容。
- 隐藏的副本
隐藏的副本是一个 IdM 副本,它正在运行所有服务且可用,但其服务器角色被禁用,客户端无法发现其副本,因为它在 DNS 中没有 SRV 记录。
隐藏副本主要设计用于备份、批量导入和导出等服务,或者需要关闭 IdM 服务的操作。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。如需更多信息,请参 隐藏的副本模式。
- HTTP 服务器
- 请参阅 Web 服务器。
- ID 映射
SSSD 可以使用 AD 用户的 SID 在名为 ID 映射的过程中以算法生成 POSIX ID。ID 映射会在 AD 中的 SID 和 Linux 中的 ID 之间创建一个映射。
- 当 SSSD 检测到新的 AD 域时,它会为这个新域分配一个可用的 ID 范围。因此,每个 AD 域在每个 SSSD 客户端机器上都有一个相同的 ID 范围。
- 当 AD 用户第一次登录到 SSSD 客户端机器时,SSSD 会在 SSSD 缓存中为用户创建一个条目,包括基于用户的 SID 和该域的 ID 范围的 UID。
- 由于 AD 用户的 ID 是以一致的方式从同一 SID 生成的,所以用户在登录到任何 Red Hat Enterprise Linux 系统时都有相同的 UID 和 GID。
- ID 范围
ID 范围是分配给 IdM 拓扑或特定副本的 ID 数范围。您可以使用 ID 范围为新用户、主机和组指定有效的 UID 和 GID 范围。ID 范围用于避免 ID 号冲突。IdM 中有两个不同的 ID 范围:
IdM ID 范围
使用此 ID 范围为整个 IdM 拓扑中的用户和组定义 UID 和 GID。安装第一个 IdM 服务器会创建 IdM ID 范围。创建后您无法修改 IdM ID 范围。但是,您可以创建一个额外的 IdM ID 范围,例如当原始 ID 接近耗尽时。
分布式数字分配 (44) ID 范围
使用此 ID 范围定义创建新用户时使用的副本的 UID 和 GID。第一次将新用户或主机条目添加到 IdM 副本中,可为该副本分配一个 DNA ID 范围。管理员可以修改 ID 范围,但新定义必须位于现有的 IdM ID 范围内。
请注意,IdM 范围与 DNA 范围相匹配,但它们并没有相互连接。如果您更改了一个范围,请确保更改另一个范围以进行匹配。
如需更多信息,请参阅 ID 范围。
- ID 视图
通过 ID 视图,您可以为 POSIX 用户或组属性指定新值,并定义要应用新值的客户端和主机。例如,您可以使用 ID 视图来:
- 为不同的环境定义不同的属性值。
- 将之前生成的属性值替换为不同的值。
在 IdM-AD 信任设置中,
Default Trust View是应用到 AD 用户和组的 ID 视图。使用Default Trust View,您可以为 AD 用户和组定义自定义 POSIX 属性,从而覆盖 AD 中定义的值。如需更多信息,请参阅使用 ID 视图覆盖 IdM 客户端中的用户属性值。
- IdM CA 服务器
安装并运行 IdM 证书颁发机构 (CA) 服务的 IdM 服务器。
备选名称: CA 服务器
- IdM 部署
用于指代整个 IdM 安装的术语。您可以通过回答以下问题来描述您的 IdM 部署:
您的 IdM 是一个试部署还是一个生产环境的部署?
- 您有多少个 IdM 服务器?
您的 IdM 部署包含 一个集成的 CA?
- 如果是,则集成的 CA 是自签名还是外部签名?
- 如果是,则在哪些服务器上 CA 角色 可用?KRA 角色在哪些服务器上可用?
您的 IdM 部署是否包含 一个集成的 DNS?
- 如果是,则在哪些服务器上提供 DNS 角色?
您的 IdM 是否在与 AD 林的信任协议中部署?
- 如果是,则在哪些服务器中 AD 信任控制器或 AD 信任代理角色可用?
- IdM 服务器和副本
要在 IdM 部署中安装第一个服务器,您必须使用
ipa-server-install命令。然后,管理员可以使用
ipa-replica-install命令在安装的第一个服务器之外安装副本。默认情况下,安装副本会与从中创建其的 IdM 服务器创建 复制协议 ,从而能够向其余 IdM 接收和发送更新。所安装的第一个服务器与副本之间没有功能差异。两个都是全功能读/写 IdM 服务器。
已弃用的名称: master 服务器
- IdM CA 续订服务器
如果您的 IdM 拓扑包含一个集成证书颁发机构 (CA),则一台服务器会具有唯一的 CA renewal server 角色。这个服务器维护并更新 IdM 系统证书。
默认情况下,您安装的第一个 CA 服务器将履行此角色,但您可以将任何 CA 服务器配置为 CA 续订服务器。在没有集成 CA 的部署中,没有 CA 续订服务器。
已弃用的名称: master CA
- IdM CRL publisher 服务器
如果您的 IdM 拓扑包含一个集成证书颁发机构 (CA),则一台服务器会具有唯一的 Certificate revocation list (CRL) publisher server 角色。此服务器负责维护 CRL。
默认情况下,履行 CA 续订服务器角色的服务器也承担此角色,但您可以将任何 CA 服务器配置为 CRL 发布程序服务器。在没有集成 CA 的部署中,没有 CRL 发布程序服务器。
- IdM 拓扑
- 涉及 IdM 解决方案结构的术语,特别是各个数据中心和集群之间的复制协议。
- Kerberos 认证指示符
身份验证指示符附加到 Kerberos 票据中,并代表用于获取票据的初始验证方法:
-
otp双因素身份验证(密码 + 一次性密码) -
radius用于 Remote Authentication Dial-In User Service (RADIUS) 验证(通常用于 802.1x 验证) -
pkinit用于 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT),智能卡或证书验证。 -
hardened用于强化密码以阻止暴力尝试
如需更多信息,请参阅 Kerberos 身份验证指标。
-
- Kerberos keytab
密码是用户的默认验证方法,但 keytabs 是主机和服务的默认验证方法。Kerberos keytab 是包含 Kerberos 主体及其关联的加密密钥列表的文件,因此服务可以检索其自己的 Kerberos 密钥并验证用户身份。
例如,每个 IdM 客户端都有一个
/etc/krb5.keytab文件,该文件存储了host主体的信息,代表 Kerberos 域中的客户端计算机。- Kerberos 主体
唯一的 Kerberos 主体可识别 Kerberos 网域中的每个用户、服务和主机:
实体 命名规则 示例 用户
identifier@REALMadmin@EXAMPLE.COM服务
service/fully-qualified-hostname@REALMhttp/server.example.com@EXAMPLE.COM主机
host/fully-qualified-hostname@REALMhost/client.example.com@EXAMPLE.COM- Kerberos 协议
- Kerberos 是一种网络身份验证协议,通过使用密钥加密为客户端和服务器应用提供强大的身份验证。IdM 和 Active Directory 使用 Kerberos 来验证用户、主机和服务。
- Kerberos realm
- Kerberos 域(realm)包括由 Kerberos 密钥分发中心 (KDC) 管理的所有主体。在 IdM 部署中,Kerberos 域包括所有 IdM 用户、主机和服务。
- Kerberos ticket 策略
Kerberos 密钥分发中心 (KDC) 通过连接策略强制实施票据访问控制,并通过票据生命周期策略管理 Kerberos 票据的持续时间。例如,默认的全局票据生命周期为一天,默认的全局最大续订期限为一周。
如需更多信息,请参阅 IdM Kerberos ticket 策略类型。
- 密钥分发中心 (KDC)
Kerberos 密钥分发中心 (KDC) 是充当管理 Kerberos 凭据信息的中央可信权威的服务。KDC 发出 Kerberos 票据并确保来自 IdM 网络内实体的数据的真实性。
如需更多信息,请参阅 IdM KDC 的角色。
- LDAP
- 轻量级目录访问协议(LDAP)是一个开放的、厂商中立的应用程序协议,用于通过网络访问和维护分布式目录信息服务。此规范的一部分是目录信息树(DIT),它以由目录服务条目的可辨识名称(DN)组成的分层树状结构来表示数据。LDAP 是 ISO X.500 标准描述的用于网络中目录服务的目录访问协议(DAP)的一种"轻量级"版本。
- 轻量级子 CA
在 IdM 中,轻量级子 CA 是证书颁发机构 (CA),其证书由 IdM root CA 签名,或属于它的一个 CA。轻量级子 CA 只为特定目的发布证书,例如用来保护 VPN 或 HTTP 连接。
如需更多信息,请参阅限制应用程序只信任某个证书子集。
- 密码策略
密码策略是特定 IdM 用户组的密码必须满足的一组条件。这些条件可以包括以下参数:
- 密码的长度
- 使用的字符类的数目
- 密码的最长生命周期。
如需更多信息,请参阅什么是密码策略。
- POSIX 属性
POSIX 属性是用于维护操作系统间兼容性的用户属性。
在 Red Hat Identity Management 环境中,用户的 POSIX 属性包括:
-
cn,用户名 -
uid,帐户名称(登录) -
uidNumber,用户编号 (UID) -
gidNumber,主组号 (GID) -
homeDirectory(用户的主目录)
在 Red Hat Identity Management 环境中,组的 POSIX 属性包括:
-
cn,组的名称 -
gidNumber,组号 (GID)
这些属性将用户和组标识为单独的实体。
-
- 复制协议
复制协议是同一 IdM 部署的两个 IdM 服务器之间的协议。复制协议确保两个服务器之间不断复制数据和配置。
IdM 使用两种复制协议: 域复制协议,用于复制身份信息,证书复制协议,用于复制证书信息。
如需更多信息,请参阅:
- 智能卡
- 智能卡是用来控制对资源访问的可移动设备或者卡。它们可以是具有嵌入式集成电路 (IC) 芯片、小型 USB 设备(如 Yubikey)或其他类似设备的固定信用卡卡。智能卡允许用户将智能卡连接到主机计算机来提供验证,而该主机上的软件与智能卡中存储的密钥材料交互以验证用户。
- SSSD
- 系统安全服务守护进程 (SSSD) 是在 RHEL 主机上管理用户身份验证和用户授权的系统服务。SSSD 可选择性地保留一个从远程供应商获取的用户身份和凭证缓存,以便进行离线身份验证。如需更多信息,请参阅了解 SSSD 及其优势。
- SSSD 后端
- SSSD 后端(通常称为数据提供程序)是一个 SSSD 子进程,它管理和创建 SSSD 缓存。这个过程与 LDAP 服务器通讯,执行不同的查询并在缓存中保存结果。它还针对 LDAP 或 Kerberos 进行在线身份验证,并将访问和密码策略应用到登录的用户。
- 票据 (TGT)
向 Kerberos 密钥分发中心 (KDC) 进行身份验证后,用户会收到一组票据授予票据 (TGT),这是一组临时凭证,可用于向其他服务(如网站和电子邮件)请求访问票据。
使用 TGT 请求进一步访问为用户提供了单点登录体验,因为用户只需要验证一次就可以访问多个服务。TGT 是可续订的,Kerberos ticket 策略则决定了票据续订限制以及访问控制。
如需更多信息,请参阅管理 Kerberos ticket 策略。
- Web 服务器
- Web 服务器是接受 Web 内容请求的计算机软件和底层硬件,如页面、镜像或应用程序。用户代理(如 Web 浏览器)使用 HTTP 网络协议来请求特定的资源、用来分发 Web 内容或其安全变体 HTTPS。Web 服务器以资源的内容或错误消息来进行响应。Web 服务器也可以接受和存储用户代理发送的资源。红帽身份管理(IdM)使用 Apache Web 服务器来显示 IdM Web UI,并协调组件之间的通信,如目录服务器和证书颁发机构(CA)。请参阅 Apache Web 服务器。
附加术语表
如果您在这个术语表中找不到身份管理术语,请查看目录服务器和证书系统术语:
