3.2. 在 Satellite 服务器上配置身份管理身份验证源

流程

1. 为您首选的登录方法启用访问：

   • 仅启用对 Satellite Web UI 的访问：

     # satellite-installer \
     --foreman-ipa-authentication true

   • 要启用对 Satellite Web UI 和 Satellite API 的访问，包括 Hammer CLI：

     # satellite-installer \
     --foreman-ipa-authentication-api true \
     --foreman-ipa-authentication true

     警告

     启用对 Satellite Web UI 和 Satellite API 的访问会带来安全风险。在身份管理用户输入 kinit 以接收 Kerberos 票据授予票(TGT)后，攻击者可以获得 API 会话。即使用户之前没有进入 Satellite 登录凭据，例如在浏览器中，也可以进行攻击。

   • 要使用身份管理禁用外部身份验证，请重置选项。例如，禁用对 Satellite API 和 Hammer CLI 的访问：

     # satellite-installer --reset-foreman-ipa-authentication-api

2. 如果您的 Satellite 服务器在 IPv6 网络中运行，且在 RHEL 9.6 和更早的版本或 RHEL 10.0 上运行，请在 /etc/sssd/sssd.conf 文件的 [domain/idm-server.example.com] 部分中设置 lookup_family_order 选项：

   [domain/idm-server.example.com]
   lookup_family_order = ipv6_only

   如果 IdM 服务器的 DNS 名称可以转换为 IPv4 和 IPv6 地址，但无法访问 IPv4 地址，SSSD 则需要 lookup_family_order 来正确转换 DNS 名称。如果没有该选项，IdM 用户无法使用 kinit 向 Satellite 进行身份验证。