搜索

第 17 章 在 IdM 中使用 KDC 代理

download PDF

有些管理员可能会选择使默认的 Kerberos 端口在部署中无法访问。要允许用户、主机和服务获取 Kerberos 凭据,您可以使用 HTTPS 服务作为代理,其通过 HTTPS 端口 443 与 Kerberos 进行通信的。

在身份管理(IdM)中,Kerberos 密钥分发中心代理 (KKDCP)提供此功能。

在 IdM 服务器上,KKDCP 默认启用,并通过 https://server.idm.example.com/KdcProxy 提供。在 IdM 客户端上,您必须更改其 Kerberos 配置来访问 KKDCP。

17.1. 配置 IdM 客户端以使用 KKDCP

作为身份管理(IdM)系统管理员,您可以将 IdM 客户端配置为使用 IdM 服务器上的 Kerberos 密钥分发中心代理(KKDCP)。如果默认的 Kerberos 端口在 IdM 服务器上无法访问,并且 HTTPS 端口 443 是访问 Kerberos 服务的唯一方式,那么这很有用。

先决条件

  • 您有访问 IdM 客户端的 root 权限。

流程

  1. 打开 /etc/krb5.conf 文件进行编辑。
  2. [realms] 部分中,对 kdcadmin_serverkpasswd_server 选项输入 KKDCP 的 URL:

    [realms]
    EXAMPLE.COM = {
      kdc = https://kdc.example.com/KdcProxy
      admin_server = https://kdc.example.com/KdcProxy
      kpasswd_server = https://kdc.example.com/KdcProxy
      default_domain = example.com
    }

    要实现冗余,您可以多次添加参数 kdcadmin_serverkpasswd_server 来指示不同的 KKDCP 服务器。

  3. 重启 sssd 服务以使更改生效:

    ~]# systemctl restart sssd
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.