第 17 章 在 IdM 中使用 KDC 代理
有些管理员可能会选择使默认的 Kerberos 端口在部署中无法访问。要允许用户、主机和服务获取 Kerberos 凭据,您可以使用 HTTPS
服务作为代理,其通过 HTTPS
端口 443 与 Kerberos 进行通信的。
在身份管理(IdM)中,Kerberos 密钥分发中心代理 (KKDCP)提供此功能。
在 IdM 服务器上,KKDCP 默认启用,并通过 https://server.idm.example.com/KdcProxy
提供。在 IdM 客户端上,您必须更改其 Kerberos 配置来访问 KKDCP。
17.1. 配置 IdM 客户端以使用 KKDCP
作为身份管理(IdM)系统管理员,您可以将 IdM 客户端配置为使用 IdM 服务器上的 Kerberos 密钥分发中心代理(KKDCP)。如果默认的 Kerberos 端口在 IdM 服务器上无法访问,并且 HTTPS
端口 443 是访问 Kerberos 服务的唯一方式,那么这很有用。
先决条件
-
您有访问 IdM 客户端的
root
权限。
流程
-
打开
/etc/krb5.conf
文件进行编辑。 在
[realms]
部分中,对kdc
、admin_server
和kpasswd_server
选项输入 KKDCP 的 URL:[realms] EXAMPLE.COM = { kdc = https://kdc.example.com/KdcProxy admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com }
要实现冗余,您可以多次添加参数
kdc
、admin_server
和kpasswd_server
来指示不同的 KKDCP 服务器。重启
sssd
服务以使更改生效:~]# systemctl restart sssd