홈
제품
Red Hat Enterprise Linux
10
IdM에서 인증서 관리
8.3. 스마트 카드 인증을 위한 IdM 클라이언트 구성

8.3. 스마트 카드 인증을 위한 IdM 클라이언트 구성

스마트 카드 인증을 위해 IdM 클라이언트를 구성할 수 있습니다. 인증에 스마트 카드를 사용하는 동안 연결할 각 IdM 시스템, 클라이언트 또는 서버에서 절차를 실행해야 합니다. 예를 들어 호스트 A에서 호스트 B로 ssh 연결을 활성화하려면 호스트 B에서 스크립트를 실행해야 합니다.

관리자는 다음 절차를 실행하여 스마트 카드 인증을 활성화합니다.

ssh 프로토콜
자세한 내용은 스마트 카드 인증을 사용하여 SSH 액세스 구성 을 참조하십시오.
콘솔 로그인
GNOME 디스플레이 관리자(GDM)
su 명령

다음 절차는 IdM 웹 UI에 인증하는 데 필요하지 않습니다. IdM 웹 UI에 인증에는 두 개의 호스트가 포함되며, 이 중 어느 것도 IdM 클라이언트일 필요가 없습니다.

브라우저가 실행 중인 시스템입니다. 시스템은 IdM 도메인 외부에 있을 수 있습니다.
httpd 가 실행 중인 IdM 서버입니다.

다음 절차에서는 IdM 서버가 아닌 IdM 클라이언트에서 스마트 카드 인증을 구성하는 것으로 가정합니다. 따라서 두 개의 컴퓨터(구성 스크립트를 생성하는 IdM 서버와 스크립트를 실행할 IdM 클라이언트)가 필요합니다.

사전 요구 사항

스마트 카드 인증을 위한 IdM 서버 구성에 설명된 대로 IdM 서버가 스마트 카드 인증을 위해 구성되었습니다.
IdM 서버 및 IdM 클라이언트에 대한 루트 액세스 권한이 있습니다.
루트 CA 인증서와 모든 중간 CA 인증서가 있습니다.
원격 사용자가 성공적으로 로그인할 수 있도록 --mkhomedir 옵션을 사용하여 IdM 클라이언트를 설치했습니다. 홈 디렉터리를 생성하지 않으면 기본 로그인 위치는 디렉터리 구조의 루트입니다. /.

프로세스

IdM 서버에서 관리자 권한을 사용하여 ipa-advise 로 구성 스크립트를 생성합니다.
```
kinit admin
ipa-advise config-client-for-smart-card-auth > config-client-for-smart-card-auth.sh
```
```
[root@server SmartCard]# kinit admin
[root@server SmartCard]# ipa-advise config-client-for-smart-card-auth > config-client-for-smart-card-auth.sh
```
Copy to Clipboard Toggle word wrap
config-client-for-smart-card-auth.sh 스크립트는 다음 작업을 수행합니다.
- 스마트 카드 데몬을 구성합니다.
- 시스템 전체 신뢰 저장소를 설정합니다.
- SSSD(System Security Services Daemon)를 구성하여 사용자가 사용자 이름 및 암호 또는 스마트 카드로 인증할 수 있습니다. 스마트 카드 인증에 대한 SSSD 프로필 옵션에 대한 자세한 내용은 RHEL의 스마트 카드 인증 옵션을 참조하십시오.

IdM 서버에서 IdM 클라이언트 시스템에서 선택한 디렉터리에 스크립트를 복사합니다.

scp config-client-for-smart-card-auth.sh root@client.idm.example.com:/root/SmartCard/

[root@server SmartCard]# scp config-client-for-smart-card-auth.sh root@client.idm.example.com:/root/SmartCard/
Password:
config-client-for-smart-card-auth.sh        100%   2419       3.5MB/s   00:00

Copy to Clipboard

Toggle word wrap

IdM 서버에서 편의를 위해 이전 단계에서 사용한 IdM 클라이언트 시스템의 동일한 디렉터리에 편의를 위해 PEM 형식의 CA 인증서 파일을 복사합니다.

scp {rootca.pem,subca.pem,issuingca.pem} root@client.idm.example.com:/root/SmartCard/

[root@server SmartCard]# scp {rootca.pem,subca.pem,issuingca.pem} root@client.idm.example.com:/root/SmartCard/
Password:
rootca.pem                          100%   1237     9.6KB/s   00:00
subca.pem                           100%   2514    19.6KB/s   00:00
issuingca.pem                       100%   2514    19.6KB/s   00:00

Copy to Clipboard

Toggle word wrap

클라이언트 시스템에서 스크립트를 실행하고 CA 인증서가 포함된 PEM 파일을 인수로 추가합니다.

kinit admin
chmod +x config-client-for-smart-card-auth.sh
./config-client-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem

[root@client SmartCard]# kinit admin
[root@client SmartCard]# chmod +x config-client-for-smart-card-auth.sh
[root@client SmartCard]# ./config-client-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
Ticket cache:KEYRING:persistent:0:0
Default principal: admin@IDM.EXAMPLE.COM
[...]
Systemwide CA database updated.
The ipa-certupdate command was successful

Copy to Clipboard

Toggle word wrap

참고

하위 CA 인증서 전에 root CA의 인증서를 인수로 추가하고 CA 또는 하위 CA 인증서가 만료되지 않았는지 확인합니다.

이제 클라이언트는 스마트 카드 인증을 위해 구성됩니다.

맨 위로 이동

8.3. 스마트 카드 인증을 위한 IdM 클라이언트 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links