第 20 章 管理 Kerberos 标记和主要别名
20.1. 服务和主机的 Kerberos 标记
您可以使用各种 Kerberos 标记来定义 Kerberos ticket 行为的特定方面。您可以将这些标记添加到服务和托管 Kerberos 主体中。
Identity Management(IdM)中的主体接受以下 Kerberos 标记:
OK_AS_DELEGATE
- 使用此标志指定为委派而受信任的 Kerberos 票据。Active directory (AD)客户端检查 Kerberos 票据上的
OK_AS_DELEGATE
标志,以确定用户凭据是否可以转发或委派给特定的服务器。AD 将票据授予票据(TGT)仅转发到设置了OK_AS_DELEGATE
的服务或主机。使用此标志,系统安全服务守护进程(SSSD)可以将 AD 用户 TGT 添加到 IdM 客户端机器的默认 Kerberos 凭证缓存中。 REQUIRES_PRE_AUTH
- 使用此标志指定只允许预先验证的票据与主体进行身份验证。设置
REQUIRES_PRE_AUTH
标志后,密钥分发中心(KDC)需要额外的身份验证:KDC 仅针对REQUIRES_PRE_AUTH
主体发出 TGT。您可以清除REQUIRES_PRE_AUTH
来禁用所选服务或主机的预身份验证,这样可降低 KDC 的负载,但也会稍微增加对长期密钥进行强度攻击的可能性。 OK_TO_AUTH_AS_DELEGATE
- 使用
OK_TO_AUTH_AS_AS_DELEGATE
标志来指定允许该服务代表用户获取 kerberos 票据。请注意,虽然这足以执行协议转换,以便代表用户获取其他票据,但服务需要OK_AS_DELEGATE
标志以及密钥分发中心上允许的对应策略决定。
20.1.1. 从 Web UI 设置 Kerberos 标记
要将
OK_AS_DELEGATE
、REQUIRES_PRE_AUTH
或 OK_TO_AUTH_AS_AS_DELEGATE
添加到主体:
- 选择 Services 子选项卡,可通过 Identity main 选项卡访问。
图 20.1. 服务列表
- 点击您要添加标记的服务。
- 检查您要设置的选项。例如,要设置
REQUIRES_PRE_AUTH
标志,请检查 Requires pre-authentication 选项:图 20.2. 添加
REQUIRES_PRE_AUTH
标志下表列出了 Web UI 中的 Kerberos 标记的名称和对应名称:表 20.1. Web UI 中的 Kerberos 标记的映射 Kerberos 标志名称 Web UI 选项 OK_AS_DELEGATE 受委托的信任 REQUIRES_PRE_AUTH 需要预身份验证 OK_TO_AUTH_AS_DELEGATE 受信任以用户身份进行身份验证
20.1.2. 从命令行设置和删除 Kerberos 标记
要从命令行或删除标志在主体中添加标志,请在 ipa service-mod 命令中添加以下选项之一:
--ok-as-delegate
forOK_AS_DELEGATE
--requires-pre-auth
forREQUIRES_PRE_AUTH
--ok-to-auth-as-delegate
forOK_TO_AUTH_AS_DELEGATE
要添加标志,请将对应的选项设置为
1
。例如,要将 OK_AS_DELEGATE
标志添加到 service/ipa.example.com@EXAMPLE.COM 主体:
$ ipa service-mod service/ipa.example.com@EXAMPLE.COM --ok-as-delegate=1
要删除标志或禁用标志,请将对应的选项设置为
0。
例如,要为 test/ipa.example.com@EXAMPLE.COM 主体禁用 REQUIRES_PRE_AUTH
标志:
$ ipa service-mod test/ipa.example.com@EXAMPLE.COM --requires-pre-auth=0
20.1.3. 从命令行显示 Kerberos 标记
要找出当前是否为主体设置了
OK_AS_DELEGATE
:
- 运行 kvno 工具。
- 运行 klist -f 命令。
OK_AS_DELEGATE
由 klist -f 输出中的 O
字符表示:
$ kvno test/ipa.example.com@EXAMPLE.COM
$ klist -f
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@EXAMPLE.COM
Valid starting Expires Service principal
02/19/2014 09:59:02 02/20/2014 08:21:33 test/ipa/example.com@EXAMPLE.COM
Flags: FATO
Kerberos 标志名称 | 缩写 |
---|---|
OK_AS_DELEGATE | O |
REQUIRES_PRE_AUTH | 一个 |
OK_TO_AUTH_AS_DELEGATE | F |
要找出当前为主体设置了哪些标记,请使用
kadmin.local
工具。当前标志显示在 kadmin.local
输出的 Attributes
行中,例如:
# kadmin.local
kadmin.local: getprinc test/ipa.example.com
Principal: test/ipa.example.com@EXAMPLE.COM
Expiration date: [never]
...
Attributes: REQUIRES_PRE_AUTH OK_AS_DELEGATE OK_TO_AUTH_AS_DELEGATE
Policy: [none]