A.8. 身份验证设置
| 设置 | 默认值 | Description |
|---|---|---|
| OAuth 活跃 | 是 | Satellite 将使用 OAuth 进行 API 授权。 |
| OAuth 消费者密钥 | ***** | OAuth 消费者密钥。 |
| OAuth 消费者 secret | ***** | OAuth 消费者机密。 |
| OAuth 映射用户 | 否 | Satellite 根据 request-header 中的 username 映射用户。如果禁用此功能,OAuth 请求具有管理员权限。 |
| 失败登录尝试限制 | 30 | 在指定失败登录尝试次数后,Satellite 会阻止用户从传入的 IP 地址登录 5 分钟。设置为 0 以禁用暴力强制保护。 |
| 限制注册的主机名 | 是 | 只有已知胶囊才能访问使用胶囊身份验证的功能。 |
| 为 Capsules 需要 SSL | 是 |
客户端 SSL 证书用于识别胶囊(还应启用 |
| 可信主机 | [] | 除了用于访问事实/报告导入器和 ENC 输出之外,要信任的主机名、IPv4、IPv6 地址或子网的列表。 |
| SSL 证书 |
| Satellite 用于与其代理通信的 SSL 证书路径。 |
| SSL CA 文件 |
| Satellite 用于与其代理通信的 SSL CA 文件路径。 |
| SSL 私钥 |
| Satellite 用于与其代理通信的 SSL 私钥路径。 |
| SSL 客户端 DN env | HTTP_SSL_CLIENT_S_DN | 包含来自客户端 SSL 证书的主题 DN 的环境变量。 |
| SSL 客户端验证 env | HTTP_SSL_CLIENT_VERIFY | 包含客户端 SSL 证书的验证状态的环境变量。 |
| SSL 客户端证书环境 | HTTP_SSL_CLIENT_CERT | 包含客户端的 SSL 证书的环境变量。 |
| 服务器 CA 文件 | 模板中使用的 SSL CA 文件路径来验证与 Satellite 的连接。 | |
| Websocket SSL 密钥 |
| 卫星用来加密 websocket 的私钥文件路径。 |
| Websocket SSL 证书 |
| Satellite 用来加密 websocket 的证书路径。 |
| Websocket 加密 | 是 |
VNC/SPICE websocket 代理控制台访问加密(需要 |
| 登录委托退出 URL | 注销时,将用户重定向到此 URL。也启用 Authorize 登录委派。 | |
| 授权登录授权身份验证源用户 autocreate | 外部 | 外部身份验证源的名称,其中未知的外部经过身份验证的用户(请参阅 Authorize login delegation)被创建。空表示没有自动创建。 |
| 授权登录委托 | 否 |
使用 |
| 授权登录委托 API | 否 |
使用 |
| 空闲超时 | 60 | 在指定分钟数后注销闲置用户。 |
| bcrypt 密码成本 | 9 | 用于内部 auth-sources 的 bcrypt 密码哈希函数的成本值(4rhacm-rhacm30)。更高的值是安全的,但验证速度较慢,特别是无状态 API 调用和 UI 登录。需要更改密码才能影响现有密码。 |
| BMC 凭证访问 | 是 | 允许通过 ENC YAML 输出和模板中访问 BMC 接口密码。 |
| OIDC JWKs URL |
OpenID Connect JSON Web 密钥集 (JWKS) URL。在使用 Keycloak 作为 OpenID 供应商时,通常会 | |
| OIDC Audience | [] | 用于身份验证的 OpenID Connect Audience 的名称。对于 Keycloak,这是客户端 ID。 |
| OIDC 颁发者 |
签发者声明标识发布 JSON Web 令牌 (JWT)的主体,该主体在大多数 OpenID 提供程序时存在于 | |
| OIDC 算法 | 在 OpenID 提供程序中对 JWT 进行编码的算法。 |
