A.8. 身份验证设置

OAuth 活跃

是

Satellite 将使用 OAuth 进行 API 授权。

OAuth 使用者密钥

*****

OAuth 使用者密钥。

OAuth 使用者 secret

*****

OAuth 使用者机密。

OAuth 映射用户

否

Satellite 根据 request-header 中的用户名来映射用户。如果禁用，OAuth 请求具有管理员权限。

登录尝试限制失败

30

在指定次数失败尝试后，Satellite 会阻止用户从传入 IP 地址登录 5 分钟。设置为 0 以禁用括号强制保护。

限制注册的 Capsule

是

只有已知的 Capsule 可以访问使用 Capsule 身份验证的功能。

需要 SSL 需要过期

是

客户端 SSL 证书用于识别 Capsules （也应启用:require_ssl ）。

可信主机

[]

除了 Capsule 之外，访问事实/报告导入器和 ENC 输出外要信任的主机名、IPv4、IPv6 地址或子网的列表。

SSL 证书

/etc/foreman/client_cert.pem

Satellite 用于与其代理通信的 SSL 证书路径。

SSL CA 文件

/etc/foreman/proxy_ca.pem

Satellite 用于与其代理通信的 SSL CA 文件路径。

SSL 私钥

/etc/foreman/client_key.pem

Satellite 用于与其代理通信的 SSL 私钥路径。

SSL 客户端 DN env

HTTP_SSL_CLIENT_S_DN

包含来自客户端 SSL 证书的主题 DN 的环境变量。

SSL 客户端验证 env

HTTP_SSL_CLIENT_VERIFY

包含客户端 SSL 证书的验证状态的环境变量。

SSL 客户端证书环境变量

HTTP_SSL_CLIENT_CERT

包含客户端的 SSL 证书的环境变量。

服务器 CA 文件

模板中使用的 SSL CA 文件路径来验证与 Satellite 的连接。

Websocket SSL 密钥

etc/pki/katello/private/katello-apache.key

Satellite 用来加密 websocket 的私钥文件路径。

Websocket SSL 证书

/etc/pki/katello/certs/katello-apache.crt

Satellite 用来加密 websocket 的证书路径。

Websocket 加密

是

VNC/SPICE websocket 代理控制台访问加密（需要websockets_ssl_key/cert 设置）。

登录委托注销 URL

在注销时将您的用户重定向到此 URL。启用 Authorize 登录委派。

授权登录委托身份验证源用户 autocreate

外部

创建未知外部经过身份验证的用户的外部身份验证源的名称（请参阅 Authorize login delegation）。空意味着没有自动创建。

授权登录委托

否

使用 REMOTE_USER HTTP 标头授权登录委托。

授权登录委托 API

否

使用 REMOTE_USER HTTP 标头授权登录委托也进行 API 调用。

闲置超时

60

在指定分钟后注销闲置用户。

bcrypt 密码成本

9

用于内部 auth-sources 的 bcrypt 密码哈希函数的成本值(439)- the30）。更高的值是更安全的，但验证速度较慢，特别是用于无状态 API 调用和 UI 登录。需要更改密码来影响现有密码。

BMC 凭证访问

是

允许通过 ENC YAML 输出和模板中访问 BMC 接口密码。

OIDC JWKs URL

OpenID Connect JSON Web 密钥集 (JWKS) URL。通常，在使用 Keycloak 作为 OpenID 供应商时 ，https://keycloak.example.com/auth/realms/<realm 名称>/protocol/openid-connect/certs。

OIDC Audience

[]

用于身份验证的 OpenID Connect Audience 的名称。如果是 Keycloak，这是客户端 ID。

OIDC Issuer

签发者声明标识发布 JSON Web 令牌 (JWT)的主体，该主体存在于大多数 OpenID 供应商时位于 /.well-known/openid-configuration。

OIDC Algorithm

用于编码 OpenID 提供程序中的 JWT 的算法。