1.4. 使用红帽身份管理凭证登录 Satellite Hammer CLI
本节论述了如何使用红帽身份管理(IdM)登录和密码登录到 Satellite Hammer CLI。
先决条件
- 您已将 Satellite 服务器注册到 Red Hat Identity Management 中,并将其配置为使用 Red Hat Identity Management 进行身份验证。更具体地说,您已启用了对 Satellite Web UI 和 Satellite API 的访问。如需更多信息,请参阅在 连接的网络环境中安装 Satellite 服务器 中的 使用红帽身份管理 。
- 运行此流程的主机被配置为使用 Red Hat Identity Management 凭证登录 Satellite Hammer CLI。如需更多信息,请参阅 在 连接的网络环境中安装 Satellite 服务器 中的 配置 Hammer CLI 以使用红帽身份管理用户身份验证。
- 主机是一个 Red Hat Identity Management 客户端。
- 一个 Red Hat Identity Management 服务器正在运行并可以被主机访问。
流程
代表 Satellite 用户获取 Kerberos 票据授予票据(TGT):
$ kinit idm_user
警告如果您将 Red Hat Identity Management 设置为身份验证提供程序时,您启用了对 Satellite API 和 Satellite Web UI 的访问,则攻击者可以在用户收到 Kerberos TGT 后获取 API 会话。即使用户之前没有在任何位置输入 Satellite 登录凭据,如浏览器中,也可以进行攻击。
如果没有启用自动协商身份验证,请使用 TGT 手动向 Hammer 进行身份验证:
$ hammer auth login negotiate
可选:收集中的所有缓存的 Kerberos 票据:
$ kdestroy -A
您仍然登录,即使销毁 Kerberos 票据。
验证
使用任何
hammer
命令确保您不要求您再次进行身份验证:$ hammer host list
注意
要从 Hammer 注销,请输入: hammer auth logout
。