7.4. 신뢰할 수 있는 도메인용 Kerberos knativeST
Kerberos Flexible Authentication Secure tunneling(FAST)은 AD(Active Directory) 환경에서 Kerberos armoring이라고도 합니다. Kerberos 192.0.2.ST는 클라이언트와 KDC(Key Distribution Center) 간의 Kerberos 통신을 위한 추가 보안 계층을 제공합니다. IdM에서 KDC는 IdM 서버에서 실행되고, CryostatST는 기본적으로 활성화됩니다. IdM의 Two-Factor Authentication (2FA)도FA를 활성화해야 합니다.
AD에서 Kerberos armoring은 기본적으로 AD DC(Domain Controller)에서 비활성화되어 있습니다. 도구>그룹 정책 관리> 기본 도메인 컨트롤러 정책의 도메인컨트롤러에서 활성화할 수 있습니다.
- 기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다. 컴퓨터 구성>Policies>관리 템플릿>System>KDC 로 이동하여 클레임, 복합 인증 및 Kerberos armoring에 대한 KDC 지원을 두 번 클릭합니다.
클레임에 대해 KDC 지원을 활성화하면 정책 설정에서 다음 옵션을 허용합니다.
- 지원되지 않음
- 지원됨
- 항상 클레임 제공
- 무장된 인증 요청 실패
Kerberos 192.0.2.ST는 IdM 클라이언트의 Kerberos 클라이언트 라이브러리에서 구현됩니다. novaST를 알리거나 Kerberos CryostatST를 전혀 사용하지 않는 신뢰할 수 있는 모든 도메인에 CryostatST를 사용하도록 IdM 클라이언트를 구성할 수 있습니다. 신뢰할 수 있는 AD 포리스트에서 Kerberos armoring을 활성화하면 IdM 클라이언트는 기본적으로 Kerberos CryostatST를 사용합니다. CryostatST는 암호화 키를 사용하여 보안 터널링을 설정합니다. 신뢰할 수 있는 도메인의 도메인 컨트롤러에 대한 연결을 보호하려면 Kerberos CryostatST는 Kerberos 영역 내에서만 유효하므로 신뢰할 수 있는 도메인에서 TGT(cross-realm Ticket Granting ticket)를 가져와야 합니다. Kerberos 192.0.2.ST는 IdM 클라이언트의 Kerberos 호스트 키를 사용하여 IdM 서버를 통해 교차 영역 TGT를 요청합니다. 이는 AD 포리스트가 IdM 도메인을 신뢰하는 경우에만 작동하므로 양방향 신뢰가 필요합니다.
AD 정책에서 Kerberos Cryostat를 사용해야 하는 경우 IdM 도메인과 AD 포리스트 간에 양방향 신뢰를 설정해야 합니다. IdM 및 AD 모두 방향 및 신뢰 유형에 대한 레코드가 있어야 하므로 연결이 설정되기 전에 이를 계획해야 합니다.
단방향 트러스트를 이미 설정한 경우 ipa trust-add … --two-way=true
명령을 실행하여 기존 신뢰 계약을 제거하고 양방향 신뢰를 생성합니다. 이를 위해서는 관리 자격 증명을 사용해야 합니다. IdM은 AD 측에서 기존 신뢰 계약을 제거하려고 하므로 AD 액세스에 대한 관리자 권한이 필요합니다. AD 관리 계정이 아닌 공유 보안을 사용하여 원래 신뢰를 설정하는 경우 신뢰를 양방향으로 다시 생성하고 IdM 측에서만 신뢰할 수 있는 도메인 오브젝트를 변경합니다. Windows 관리자는 양방향 신뢰를 선택하기 위해 Windows UI를 사용하여 동일한 절차를 반복하고 동일한 공유 시크릿을 사용하여 신뢰를 다시 생성해야 합니다.
양방향 트러스트를 사용할 수 없는 경우 모든 IdM 클라이언트에서 Kerberos 192.0.2.ST를 비활성화해야 합니다. 신뢰할 수 있는 AD 포리스트의 사용자는 암호 또는 직접 스마트 카드로 인증할 수 있습니다. Kerberos knativeST를 비활성화하려면 [domain]
섹션의 sssd.conf
파일에 다음 설정을 추가합니다.
krb5_use_fast = never
krb5_use_fast = never
인증이 ssh-keys, GSSAPI 인증 또는 원격 Windows 클라이언트의 스마트 카드와 SSH를 사용하는 경우 이 옵션을 사용할 필요가 없습니다. IdM 클라이언트가 DC와 통신할 필요가 없기 때문에 이러한 방법은 Kerberos hearST를 사용하지 않습니다. 또한 IdM 클라이언트에서 gRPCST를 비활성화한 후 2단계 인증 IdM 기능도 사용할 수 없습니다.