我正在使用 ansible_freeipa 集合角色设置 FreeIPA 服务器:ipa-server。我看到有一个选项ipaserver_no_pkinit:。据我所知,它实际上不需要任何 pkinit,因为我只会将 FreeIPA 用作具有复制功能的 ldap 服务器。
但是我不确定在两个 IPA 服务器之间建立复制/故障转移需要什么。
答案1
如果您明确指定不提供 PKINIT,这不会禁用 PKINIT 支持。相反,这意味着在 IPA 服务器上,将使用本地 certmonger 的 CA 生成 PKINIT 证书,并且该证书仅对 IPA Web UI 操作有用。IPA Web UI(或者更确切地说是其服务器端)在内部使用 PKINIT 来支持使用 OTP 令牌的用户登录 Web UI。通过 Kerberos 进行 OTP 登录需要使用特殊包装,这通常使用现有的 Kerberos 票证完成。PKINIT 提供了一种获取所谓匿名 PKINIT 票证的方法,仅用于此目的。这种类型的操作由 IPA Web UI 使用,要使其正常工作,需要正确的 PKINIT 设置。
您可以阅读更多详细信息https://www.freeipa.org/page/V4/Kerberos_PKINIT
PS 询问 FreeIPA 问题的一种正确且更有效的方法是使用 freeipa-users@ 邮件列表。大多数 FreeIPA 用户和开发人员都在这里。