红帽全球峰会第 3 章 在 Satellite 中使用身份管理配置 Kerberos SSO
身份管理是一种开源身份管理解决方案,提供集中式身份验证、授权和帐户管理服务。使用 Satellite,您可以将 Satellite 服务器与现有身份管理服务器集成,以启用身份管理用户对 Satellite 进行身份验证。
将您的身份管理服务器配置为外部身份提供程序后,身份管理中定义的用户可使用其身份管理凭据登录 Satellite。如果在身份管理和 Active Directory 之间配置了跨林信任,Active Directory 用户也可以登录到 Satellite。
身份管理用户可以使用以下方法登录:
- 用户名和密码
- Kerberos 单点登录
当在身份管理和活动目录之间配置了跨林信任时,Active Directory 用户可以使用其用户主体名称(UPN)和密码登录到 Satellite。
有关身份管理的详情,包括其跨林信任功能,请参阅 Red Hat Enterprise Linux 8 规划身份管理 和 Red Hat Enterprise Linux 8 安装身份管理。
3.1. 在身份管理域中注册 Satellite 服务器
在身份管理 LDAP 中为 Satellite 服务器系统创建一个主机条目,并将系统配置为身份管理域中的客户端。
先决条件
- 现有的身份管理服务器
- 具有注册新身份管理主机的特权的身份管理用户帐户
流程
在身份管理服务器中:
为 Satellite 服务器系统创建一个主机条目。
如需更多信息,请参阅 Red Hat Enterprise Linux 8 配置和管理身份管理 或 Red Hat Enterprise Linux 9 管理 IdM 用户、组、主机和访问控制规则。
为 Satellite 服务器创建 HTTP 服务的条目。这可让通过为您的 Satellite 服务器创建服务主体来访问 keytab 文件。
有关在身份管理中创建服务条目的更多信息,请参阅 Red Hat Enterprise Linux 8 管理 IdM 用户、组、主机和访问控制规则 或 Red Hat Enterprise Linux 9 管理 IdM 用户、组、主机和访问控制规则。
在 Satellite 服务器上,将系统配置为身份管理域中的客户端。这包括确保系统满足必要的先决条件,安装必要的软件包并运行
ipa-client-install工具。如需更多信息,请参阅 Red Hat Enterprise Linux 8 安装身份管理 或 Red Hat Enterprise Linux 9 安装身份管理。
注意要在 Satellite 服务器上安装软件包,请使用
satellite-installer工具。
验证
在 Satellite 服务器上,检查您是否能够解析身份管理服务器中定义的用户。例如,检查身份管理默认创建的
admin用户:id admin
$ id adminCopy to Clipboard Copied!
例 3.1. 使用命令行将 Satellite 服务器系统注册为身份管理客户端
在身份管理服务器上,名为 admin 的用户,该用户在身份管理服务器上具有管理特权,它为 Satellite Server 系统准备主机条目:
以身份管理 admin 用户身份进行身份验证:
kinit admin
# kinit adminCopy to Clipboard Copied! 可选:验证您是否已成功验证:
klist
# klistCopy to Clipboard Copied! 从命令行创建主机条目。指定您要为注册使用随机密码。
ipa host-add --random satellite-server.example.com
# ipa host-add --random satellite-server.example.com -------------------------------------------------- Added host "satellite-server.example.com" -------------------------------------------------- Host name: satellite-server.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: ipa-server.example.comCopy to Clipboard Copied! 通过为您的 Satellite 服务器创建服务主体来启用对 keytab 文件的访问:
ipa service-add HTTP/satellite-server.example.com
# ipa service-add HTTP/satellite-server.example.comCopy to Clipboard Copied!
在 Satellite Server 系统中,具有 Satellite 管理特权的用户将系统注册到身份管理域中:
安装身份管理客户端软件包:
satellite-maintain packages install ipa-client
# satellite-maintain packages install ipa-clientCopy to Clipboard Copied! 使用上一步中
ipa host-add生成的随机密码,在身份管理中配置 Satellite 服务器系统:ipa-client-install --password 'W5YpARl=7M.n'
# ipa-client-install --password 'W5YpARl=7M.n'Copy to Clipboard Copied! 验证您是否能够从 Satellite 服务器解析身份管理
admin用户:id admin
$ id adminCopy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}