搜索

第 20 章 管理 Kerberos 标记和主要别名

download PDF

20.1. 服务和主机的 Kerberos 标记

您可以使用各种 Kerberos 标记来定义 Kerberos ticket 行为的特定方面。您可以将这些标记添加到服务和托管 Kerberos 主体中。
Identity Management(IdM)中的主体接受以下 Kerberos 标记:
OK_AS_DELEGATE
使用此标志指定为委派而受信任的 Kerberos 票据。
Active directory (AD)客户端检查 Kerberos 票据上的 OK_AS_DELEGATE 标志,以确定用户凭据是否可以转发或委派给特定的服务器。AD 将票据授予票据(TGT)仅转发到设置了 OK_AS_DELEGATE 的服务或主机。使用此标志,系统安全服务守护进程(SSSD)可以将 AD 用户 TGT 添加到 IdM 客户端机器的默认 Kerberos 凭证缓存中。
REQUIRES_PRE_AUTH
使用此标志指定只允许预先验证的票据与主体进行身份验证。
设置 REQUIRES_PRE_AUTH 标志后,密钥分发中心(KDC)需要额外的身份验证:KDC 仅针对 REQUIRES_PRE_AUTH 主体发出 TGT。
您可以清除 REQUIRES_PRE_AUTH 来禁用所选服务或主机的预身份验证,这样可降低 KDC 的负载,但也会稍微增加对长期密钥进行强度攻击的可能性。
OK_TO_AUTH_AS_DELEGATE
使用 OK_TO_AUTH_AS_AS_DELEGATE 标志来指定允许该服务代表用户获取 kerberos 票据。请注意,虽然这足以执行协议转换,以便代表用户获取其他票据,但服务需要 OK_AS_DELEGATE 标志以及密钥分发中心上允许的对应策略决定。

20.1.1. 从 Web UI 设置 Kerberos 标记

要将 OK_AS_DELEGATEREQUIRES_PRE_AUTHOK_TO_AUTH_AS_AS_DELEGATE 添加到主体:
  1. 选择 Services 子选项卡,可通过 Identity main 选项卡访问。

    图 20.1. 服务列表

    服务列表
  2. 点击您要添加标记的服务。
  3. 检查您要设置的选项。例如,要设置 REQUIRES_PRE_AUTH 标志,请检查 Requires pre-authentication 选项:

    图 20.2. 添加 REQUIRES_PRE_AUTH 标志

    添加 REQUIRES_PRE_AUTH 标志
    下表列出了 Web UI 中的 Kerberos 标记的名称和对应名称:
    表 20.1. Web UI 中的 Kerberos 标记的映射
    Kerberos 标志名称 Web UI 选项
    OK_AS_DELEGATE 受委托的信任
    REQUIRES_PRE_AUTH 需要预身份验证
    OK_TO_AUTH_AS_DELEGATE 受信任以用户身份进行身份验证

20.1.2. 从命令行设置和删除 Kerberos 标记

要从命令行或删除标志在主体中添加标志,请在 ipa service-mod 命令中添加以下选项之一:
  • --ok-as-delegate for OK_AS_DELEGATE
  • --requires-pre-auth for REQUIRES_PRE_AUTH
  • --ok-to-auth-as-delegate for OK_TO_AUTH_AS_DELEGATE
要添加标志,请将对应的选项设置为 1。例如,要将 OK_AS_DELEGATE 标志添加到 service/ipa.example.com@EXAMPLE.COM 主体:
$ ipa service-mod service/ipa.example.com@EXAMPLE.COM --ok-as-delegate=1
要删除标志或禁用标志,请将对应的选项设置为 0。例如,要为 test/ipa.example.com@EXAMPLE.COM 主体禁用 REQUIRES_PRE_AUTH 标志:
$ ipa service-mod test/ipa.example.com@EXAMPLE.COM --requires-pre-auth=0

20.1.3. 从命令行显示 Kerberos 标记

要找出当前是否为主体设置了 OK_AS_DELEGATE
  1. 运行 kvno 工具。
  2. 运行 klist -f 命令。
OK_AS_DELEGATEklist -f 输出中的 O 字符表示:
$ kvno test/ipa.example.com@EXAMPLE.COM
$ klist -f
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@EXAMPLE.COM

Valid starting		Expires			Service principal
02/19/2014 09:59:02	02/20/2014 08:21:33	test/ipa/example.com@EXAMPLE.COM
    Flags: FATO
表 20.2. kerberos 标记的缩写
Kerberos 标志名称 缩写
OK_AS_DELEGATE O
REQUIRES_PRE_AUTH 一个
OK_TO_AUTH_AS_DELEGATE F
要找出当前为主体设置了哪些标记,请使用 kadmin.local 工具。当前标志显示在 kadmin.local 输出的 Attributes 行中,例如:
# kadmin.local
kadmin.local: getprinc test/ipa.example.com
Principal: test/ipa.example.com@EXAMPLE.COM
Expiration date: [never]
...
Attributes: REQUIRES_PRE_AUTH OK_AS_DELEGATE OK_TO_AUTH_AS_DELEGATE
Policy: [none]
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.