8.4.2. 设置和配置 Red Hat Single Sign-On 服务器

在机器上安装 Kerberos 客户端。

流程

安装 Kerberos 客户端。如果您的机器运行 Fedora、Ubuntu 或 RHEL，请安装 freeipa-client 软件包，其中包含 Kerberos 客户端和其他实用程序。
配置 Kerberos 客户端（在 Linux 中，配置设置位于 /etc/krb5.conf 文件中）。
将您的 Kerberos 域添加到配置中，并配置服务器运行的 HTTP 域。
例如，对于 MYDOMAIN.ORG 域，您可以配置 domain_realm 部分，如下所示：
```
[domain_realm]
  .mydomain.org = MYDOMAIN.ORG
  mydomain.org = MYDOMAIN.ORG
```
```
[domain_realm]
  .mydomain.org = MYDOMAIN.ORG
  mydomain.org = MYDOMAIN.ORG
```
Copy to Clipboard Toggle word wrap
使用 HTTP 主体导出 keytab 文件，并确保运行 Red Hat Single Sign-On 服务器的进程可以访问该文件。对于生产环境，请确保此文件只可由这个进程读取。
对于以上 MIT Kerberos 示例，我们将 keytab 导出到 /tmp/http.keytab 文件。如果您的 密钥分发中心(KDC) 和 Red Hat Single Sign-On 在同一主机上运行，则该文件已可用。

默认情况下，Red Hat Single Sign-On 禁用 SPNEGO 协议支持。要启用它，请转至浏览器流并启用 Kerberos。

浏览器流

Browser Flow

将 禁用的 Kerberos 要求设置为备选 (Kerberos 是可选的)或必需（浏览器必须启用 Kerberos）。如果您尚未将浏览器配置为与 SPNEGO 或 Kerberos 一起使用，Red Hat Single Sign-On 将回退到常规登录屏幕。

返回顶部