3.2. IdM 服务器和客户端简介
Identity Management (IdM) 域包括以下类型的系统:
- IdM 客户端
IdM 客户端是注册了服务器的 Red Hat Enterprise Linux 系统,并配置为使用这些服务器中的 IdM 服务。
客户端与 IdM 服务器交互来访问由它们提供的服务。例如,客户端使用 Kerberos 协议执行身份验证并获取企业单点登录(SSO)的票据,使用 LDAP 获取身份和策略信息,并使用 DNS 检测服务器和服务所在的位置以及如何连接它们。
- IdM 服务器
IdM 服务器是响应 IdM 域中 IdM 客户端的身份、身份验证和授权请求的 Red Hat Enterprise Linux 系统。IdM 服务器是身份和策略信息的中央仓库。它们也可以托管域成员使用的任何可选的服务:
- 证书颁发机构 (CA):此服务在大多数 IdM 部署中存在。
- 密钥恢复授权中心 (KRA)
- DNS
- Active Directory (AD) 信任控制器
- Active Directory (AD) 信任代理
IdM 服务器也是嵌入式 IdM 客户端。与自己注册的客户端一样,服务器可以提供与其他客户端相同的功能。
为了为大量客户端以及冗余和可用性提供服务,IdM 允许在单一域中的多个 IdM 服务器中进行部署。可以部署最多 60 个服务器。这是 IdM 域中目前支持的最大 IdM 服务器数,也称为副本。
在创建副本时,IdM 会克隆现有服务器的配置。副本与初始服务器的核心配置共享,包括有关用户、系统、证书和配置策略的内部信息。
- 注意
- 除了 CA renewal 和 CRL publisher 角色外,副本和从中创建副本的服务器的功能完全相同。因此,术语 server 和 replica 在 RHEL IdM 文档中被互换使用,具体取决于上下文。
但是,如果这样配置了,不同的 IdM 服务器可以为客户端提供不同的服务。每台服务器上都提供了 Kerberos 和 LDAP 等核心组件。CA、DNS、Trust Controller 或 Vault 等其它服务都是可选的。这意味着不同的 IdM 服务器可以在部署中有不同的角色。
如果您的 IdM 拓扑包含一个集成的 CA,则一个服务器具有证书撤销列表 (CRL) publisher 服务器的角色,一个服务器则拥有 CA 续订服务器的角色。
默认情况下,安装的第一个 CA 服务器承担这两个角色,但您可以将这些角色分配到单独的服务器。
CA 续订服务器对您的 IdM 部署至关重要,因为它是负责跟踪 CA 子系统证书和密钥的域中的唯一系统。有关如何从影响您的 IdM 部署的灾难中恢复的详情,请参阅使用身份管理执行灾难恢复。
- 注意
- 所有 IdM 服务器(对于客户端,请参阅安装 IdM 客户端的 RHEL支持的版本)都必须在相同的 RHEL 主版本和次版本中运行。不要在拓扑中使用超过几天应用 z-stream 更新或升级 IdM 服务器。有关如何应用 Z-stream 修复和升级服务器的详情,请参阅更新 IdM 软件包。有关如何迁移到 RHEL 9 上的 IdM 的详情,请参考 将您的 IdM 环境从 RHEL 8 服务器迁移到 RHEL 9 服务器。