搜索

15.3. 在 IdM 中配置 PKINIT

download PDF

如果您的 IdM 服务器在 PKINIT 被禁用的情况下运行,请使用以下步骤启用它。例如,如果您使用 ipa-server-installipa-replica-install 工具传递了 --no-pkinit 选项,则服务器在 PKINIT 禁用的情况下运行。

先决条件

  • 确保安装了证书颁发机构(CA)的所有 IdM 服务器都在同一域级别上运行。

流程

  1. 检查服务器上是否启用了 PKINIT:

    # kinit admin
    
    Password for admin@IDM.EXAMPLE.COM:
    # ipa pkinit-status --server=server.idm.example.com
    1 server matched
    ----------------
    Server name: server.idm.example.com
    PKINIT status:enabled
    ----------------------------
    Number of entries returned 1
    ----------------------------

    如果 PKINIT 被禁用了,您将看到以下输出:

    # ipa pkinit-status --server server.idm.example.com
    -----------------
    0 servers matched
    -----------------
    ----------------------------
    Number of entries returned 0
    ----------------------------

    如果省略 --server <server_fqdn> 参数,您也可以使用命令来查找所有启用了 PKINIT 的服务器。

  2. 如果您正在运行没有 CA 的 IdM:

    1. 在 IdM 服务器上,安装签名了 Kerberos 密钥分发中心(KDC)证书的 CA 证书:

      # ipa-cacert-manage install -t CT,C,C ca.pem
    2. 要更新所有 IPA 主机,请在所有副本和客户端上重复 ipa-certupdate 命令:

      # ipa-certupdate
    3. 使用 ipa-cacert-manage list 命令检查 CA 证书是否已添加。例如:

      # ipa-cacert-manage list
      CN=CA,O=Example Organization
      The ipa-cacert-manage command was successful
    4. 使用 ipa-server-certinstall 工具安装一个外部 KDC 证书。KDC 证书必须满足以下条件:

      • 它是使用通用名称 CN=fully_qualified_domain_name,certificate_subject_base 颁发的。
      • 它包括 Kerberos 主体 krbtgt/REALM_NAME@REALM_NAME
      • 它包含用于 KDC 身份验证的对象标识符(OID):1.3.6.1.5.2.3.5.

        # ipa-server-certinstall --kdc kdc.pem kdc.key
        
        # systemctl restart krb5kdc.service
    5. 查看您的 PKINIT 状态:

      # ipa pkinit-status
        Server name: server1.example.com
        PKINIT status: enabled
        [...output truncated...]
        Server name: server2.example.com
        PKINIT status: disabled
        [...output truncated...]
  3. 如果您使用带有 CA 证书的 IdM ,请启用 PKINIT,如下所示:

    # ipa-pkinit-manage enable
      Configuring Kerberos KDC (krb5kdc)
      [1/1]: installing X509 Certificate for PKINIT
      Done configuring Kerberos KDC (krb5kdc).
      The ipa-pkinit-manage command was successful

    如果您使用 IdM CA,命令请求 CA 中的一个 PKINIT KDC 证书。

其他资源

  • ipa-server-certinstall(1) 手册页
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.