4.4. SSSD 和 FreeIPA 身份管理集成
Red Hat Single Sign-On 包含 系统安全服务守护进程(SSSD) 插件。SSSD 是 Fedora 和 Red Hat Enterprise Linux (RHEL)的一部分,它提供了对多个身份和验证供应商的访问。SSSD 还提供诸多优点,如故障转移和离线支持。如需更多信息,请参阅 Red Hat Enterprise Linux Identity Management 文档。
SSSD 与 FreeIPA 身份管理(IdM)服务器集成,提供身份验证和访问控制。通过这种集成,Red Hat Single Sign-On 可以根据特权访问管理(PAM)服务进行身份验证,并从 SSSD 检索用户数据。有关在 Linux 环境中使用红帽身份管理的更多信息,请参阅 Red Hat Enterprise Linux Identity Management 文档。
Red Hat Single Sign-On 和 SSSD 通过只读 D-Bus 接口进行通信。因此,置备和更新用户的方式是使用 FreeIPA/IdM 管理界面。默认情况下,接口导入用户名、电子邮件、名字和姓氏。
Red Hat Single Sign-On 会自动注册组和角色,但不会同步它们。红帽单点登录管理员对 Red Hat Single Sign-On 管理员所做的任何更改都不会与 SSSD 同步。
4.4.1. FreeIPA/IdM 服务器
FreeIPA Docker 镜像位于 Docker Hub 中。要设置 FreeIPA 服务器,请查看 FreeIPA 文档。
流程
使用以下命令运行 FreeIPA 服务器:
docker run --name freeipa-server-container -it \ -h server.freeipa.local -e PASSWORD=YOUR_PASSWORD \ -v /sys/fs/cgroup:/sys/fs/cgroup:ro \ -v /var/lib/ipa-data:/data:Z freeipa/freeipa-server
带有
server.freeipa.local的参数-h代表 FreeIPA/IdM 服务器主机名。将 yourR_PASSWORD更改为您自己的密码。容器启动后,将
/etc/hosts文件更改为包括:x.x.x.x server.freeipa.local
如果没有进行此更改,您必须设置 DNS 服务器。
使用以下命令在 IPA 域中注册 Linux 服务器,以便 SSSD 联合供应商在红帽单点登录上启动并运行:
ipa-client-install --mkhomedir -p admin -w password
在客户端上运行以下命令验证安装是否正常工作:
kinit admin
- 输入您的密码。
使用以下命令将用户添加到 IPA 服务器:
$ ipa user-add <username> --first=<first name> --last=<surname> --email=<email address> --phone=<telephoneNumber> --street=<street> \ --city=<city> --state=<state> --postalcode=<postal code> --password
使用 kinit 强制设置用户的密码。
kinit <username>
输入以下内容恢复常规 IPA 操作:
kdestroy -A kinit admin
