搜索

5.2. 使用红帽身份管理

download PDF

本节介绍如何将 Satellite 服务器与红帽身份管理服务器集成,以及如何启用基于主机的访问控制。

注意

您可以将 Red Hat Identity Management 附加到外部身份验证源,而无需单点登录支持。如需更多信息,请参阅 第 5.1 节 “使用 LDAP”

重要

用户不能同时使用 Red Hat Identity Management 和 LDAP 作为身份验证方法。用户使用某种方法进行身份验证后,他们无法使用其他方法。

要更改用户的身份验证方法,您必须从 Satellite 中删除自动创建的用户。

先决条件

  • Satellite 服务器的基本操作系统必须由您机构的红帽身份管理管理员注册在红帽身份管理域中。

本章中的示例假定在红帽身份管理和 Satellite 配置之间分离。但是,如果您拥有这两个服务器的管理员特权,您可以配置 Red Hat Identity Management,如 Red Hat Enterprise Linux 8 安装身份管理指南 所述。

5.2.1. 在 Satellite 服务器中配置红帽身份管理身份验证

在 Satellite CLI 中,首先在 Red Hat Identity Management 服务器上创建主机条目来配置红帽身份管理身份验证。

流程

  1. 在 Red Hat Identity Management 服务器中,要进行身份验证,请输入以下命令并在提示时输入密码:

    # kinit admin
  2. 要验证您是否已通过身份验证,请输入以下命令:

    # klist
  3. 在 Red Hat Identity Management 服务器上,为 Satellite 服务器创建一个主机条目并生成一次性密码,例如:

    # ipa host-add --random hostname
    注意

    生成的一次性密码必须在客户端上使用,以完成 Red Hat Identity Management-enrollment。

    有关主机配置属性的更多信息,请参阅 配置和管理身份管理 中的 IdM LDAP 中的主机条目

  4. 为 Satellite 服务器创建 HTTP 服务,例如:

    # ipa service-add HTTP/hostname

    有关管理服务的更多信息,请参阅 Red Hat Enterprise Linux 8 访问身份管理服务指南

  5. 在 Satellite 服务器上安装 IPA 客户端:

    警告

    此命令可能会在安装软件包的过程中重启 Satellite 服务。有关在 Satellite 上安装和更新软件包的更多信息,请参阅管理 Red Hat Satellite 中的在 Satellite 服务器的基本操作系统或 Capsule Server 上 管理软件包

    # satellite-maintain packages install ipa-client
  6. 在 Satellite 服务器上,以 root 用户身份输入以下命令来配置 Red Hat Identity Management-enrollment:

    # ipa-client-install --password OTP

    OTP 替换为红帽身份管理管理员提供的一次性密码。

  7. 使用以下命令之一将 Red Hat Identity Management 设置为身份验证供应商:

    • 如果您只想启用对 Satellite Web UI 的访问,而不是 Satellite API,请输入:

      # satellite-installer \
      --foreman-ipa-authentication=true
    • 如果要启用 Satellite Web UI 和 Satellite API 的访问,请输入:

      # satellite-installer \
      --foreman-ipa-authentication-api=true \
      --foreman-ipa-authentication=true
      警告

      启用访问 Satellite API 和 Satellite Web UI 可能会导致安全问题。在 IdM 用户通过输入 kinit user_name 接收 Kerberos 票据授予票(TGT)后,攻击者可以获取 API 会话。即使用户之前没有在任何位置输入 Satellite 登录凭据,如浏览器中,也可以进行攻击。

  8. 重启 Satellite 服务:

    # satellite-maintain service restart

外部用户可以使用他们的红帽身份管理凭证登录 Satellite。现在,他们可以选择使用其用户名和密码直接登录到 Satellite 服务器,或者利用配置的 Kerberos 单点登录并在其客户端机器上获取票据并自动登录。也支持使用一次性密码(2FA OTP)进行双因素身份验证。

5.2.2. 配置基于主机的身份验证控制

HBAC 规则定义 Red Hat Identity Management 用户可以访问哪些机器。您可以在 Red Hat Identity Management 服务器上配置 HBAC,以防止所选用户访问 Satellite 服务器。通过这种方法,您可以防止 Satellite 为不允许登录的用户创建数据库条目。有关 HBAC 的更多信息,请参阅管理 IdM 用户、组、主机和访问控制规则指南

在 Red Hat Identity Management 服务器上,配置基于主机的身份验证控制(HBAC)。

流程

  1. 在 Red Hat Identity Management 服务器中,要进行身份验证,请输入以下命令并在提示时输入密码:

    # kinit admin
  2. 要验证您是否已通过身份验证,请输入以下命令:

    # klist
  3. 在 Red Hat Identity Management 服务器上创建 HBAC 服务和规则,并将它们链接在一起。以下示例使用 PAM 服务名称 satellite-prod。在 Red Hat Identity Management 服务器上执行以下命令:

    # ipa hbacsvc-add satellite-prod
    # ipa hbacrule-add allow_satellite_prod
    # ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
  4. 添加有权访问服务 satellite-prod 的用户,以及 Satellite 服务器的主机名:

    # ipa hbacrule-add-user allow_satellite_prod --user=username
    # ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com

    或者,可以将主机组和用户组添加到 allow_satellite_prod 规则中。

  5. 要检查规则的状态,请执行:

    # ipa hbacrule-find satellite-prod
    # ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
  6. 确保 Red Hat Identity Management 服务器上禁用了 allow_all 规则。有关如何在不中断其他服务的情况下进行此操作的说明,请参阅红帽客户门户网站中的 如何在 IdM 中配置 HBAC 规则
  7. 配置红帽身份管理与 Satellite 服务器集成,如 第 5.2.1 节 “在 Satellite 服务器中配置红帽身份管理身份验证” 所述。在 Satellite 服务器上,将 PAM 服务定义为 root :

    # satellite-installer --foreman-pam-service=satellite-prod
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.