第 12 章 为用户、主机和服务管理 Kerberos 主体别名
当您创建新用户、主机或服务时,会自动添加以下格式的 Kerberos 主体:
- user_name@REALM
- host/host_name@REALM
- service_name/host_name@REALM
管理员可以让用户、主机或服务使用别名对 Kerberos 应用进行身份验证。这在以下情况下很有用:
- 用户名已更改,用户希望使用之前的用户名和新用户名登录。
- 即使 IdM Kerberos 域与电子邮件域不同,用户也需要使用电子邮件地址登录。
请注意,如果您重命名了用户,对象会保留别名和之前的规范主体名称。
12.1. 添加一个 Kerberos 主体别名
您可以在身份管理(IdM)环境中将别名名称与现有 Kerberos 主体关联。这增强了安全性,并简化了 IdM 域中的身份验证过程。
流程
要将别名名称
useralias
添加到帐户user
中,请输入:# ipa user-add-principal <user> <useralias> -------------------------------- Added new aliases to user "user" -------------------------------- User login: user Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM
要为主机或服务添加一个别名,请分别使用
ipa host-add-principal
或ipa service-add-principal
命令。如果您使用别名名称进行身份验证,请使用
kinit
命令的-C
选项:# kinit -C <useralias> Password for <user>@IDM.EXAMPLE.COM: