Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

16장. 서비스 관리

호스트에서 실행되는 일부 서비스도 IdM 도메인에 속할 수 있습니다. Kerberos 사용자 또는 SSL 인증서(또는 둘 다)를 저장할 수 있는 모든 서비스를 IdM 서비스로 구성할 수 있습니다. IdM 도메인에 서비스를 추가하면 서비스에서 도메인에서 SSL 인증서 또는 keytab을 요청할 수 있습니다. (인증서의 공개 키만 서비스 레코드에 저장됩니다. 개인 키는 서비스의 로컬입니다.)
IdM 도메인은 일반적인 ID 정보, 공통 정책 및 공유 서비스를 사용하여 시스템 간 공통성을 설정합니다. 도메인 기능에 속하는 모든 머신은 도메인의 클라이언트로, 도메인에서 제공하는 서비스를 사용합니다. IdM 도메인( 1장. Red Hat Identity Management 소개에 설명된 대로)은 특히 머신을 위한 세 가지 주요 서비스를 제공합니다.
  • DNS
  • Kerberos
  • 인증서 관리

16.1. 서비스 항목 및 키 탭 추가 및 편집
링크 복사

호스트 항목과 마찬가지로 호스트의 서비스 항목(및 도메인에 속할 해당 호스트의 다른 서비스)은 IdM 도메인에 수동으로 추가해야 합니다. 이는 두 단계의 프로세스입니다. 먼저 서비스 항목을 생성한 다음 도메인에 액세스하는 데 사용할 해당 서비스에 대해 키탭을 만들어야 합니다.
기본적으로 Identity Management는 HTTP keytab을 /etc/httpd/conf/ipa.keytab 에 저장합니다.
참고
이 키탭은 웹 UI에 사용됩니다. 키가 ipa.keytab 에 저장되고 해당 keytab 파일이 삭제되면 원래 키도 삭제되므로 IdM 웹 UI의 작동이 중지됩니다.
Kerberos를 인식해야 하는 각 서비스에 대해 유사한 위치를 지정할 수 있습니다. 사용해야 하는 특정 위치는 없지만 ipa-getkeytab 을 사용할 때는 /etc/krb5.keytab 사용을 피해야 합니다. 이 파일에는 서비스별 키탭이 포함되어 있지 않아야 합니다. 각 서비스에는 특정 위치에 저장된 키탭과 액세스 권한(및 SELinux 규칙)만 keytab에 액세스할 수 있도록 구성해야 합니다.

16.1.1. 웹 UI에서 서비스 및 키 탭 추가
링크 복사

  1. Identity 탭을 열고 Services (서비스)를 선택합니다.
  2. 서비스 목록 상단에 있는 Add 버튼을 클릭합니다.
  3. 드롭다운 메뉴에서 서비스 유형을 선택하고 이름을 지정합니다.
  4. 서비스가 실행 중인 IdM 호스트의 호스트 이름을 선택합니다. 호스트 이름은 전체 서비스 주체 이름을 구성하는 데 사용됩니다.
  5. Add 버튼을 클릭하여 새 서비스 주체를 저장합니다.
  6. ipa-getkeytab 명령을 사용하여 서비스 주체에 대한 새 키탭을 생성하고 할당합니다. 
    [root@ipaserver ~]# # ipa-getkeytab -s ipaserver.example.com -p HTTP/server.example.com -k /etc/httpd/conf/krb5.keytab -e aes256-cts
    Copy to Clipboard Toggle word wrap
    • 영역 이름은 선택 사항입니다. IdM 서버는 구성된 Kerberos 영역을 자동으로 추가합니다. 다른 영역을 지정할 수 없습니다.
    • 호스트 이름이 Kerberos와 함께 작동하려면 DNS A 레코드로 변환해야 합니다. --force 플래그를 사용하여 필요한 경우 보안 주체 생성을 강제 적용할 수 있습니다.
    • e 인수 는 키 탭에 포함할 암호화 유형 목록을 포함할 수 있습니다. 이는 모든 기본 암호화 유형을 대체합니다. 동일한 명령 호출과 함께 옵션을 여러 번 사용하거나, 옵션 목록을 중괄호 안에 쉼표로 구분된 목록으로 나열(예: --option={val1,val2,val3} )하여 설정할 수 있습니다.
    주의
    새 키를 만들면 지정된 주체에 대한 시크릿이 재설정됩니다. 즉, 해당 주체의 다른 모든 키탭이 잘못 렌더링됩니다.

16.1.2. 명령줄에서 서비스 및 키 탭 추가
링크 복사

  1. 서비스 주체를 생성합니다. 서비스는 서비스/FQDN 과 같은 이름을 통해 인식됩니다: 
    # ipa service-add serviceName/hostname
    Copy to Clipboard Toggle word wrap
    예를 들어 다음과 같습니다. 
    $ ipa service-add HTTP/server.example.com
-------------------------------------------------------
Added service "HTTP/server.example.com@EXAMPLE.COM"
-------------------------------------------------------
  Principal: HTTP/server.example.com@EXAMPLE.COM
  Managed by: ipaserver.example.com
    Copy to Clipboard Toggle word wrap
  2. ipa-getkeytab 명령을 사용하여 서비스 키탭 파일을 만듭니다. 이 명령은 IdM 도메인의 클라이언트에서 실행됩니다. (실제로, IdM 서버 또는 클라이언트에서 실행 한 다음 적절한 시스템으로 복사되는 키를 실행할 수 있습니다. 그러나 생성되는 서비스가 있는 시스템에서 명령을 실행하는 것이 가장 간단합니다.)
    명령에는 Kerberos 서비스 주체(-p), IdM 서버 이름(-s), 작성할 파일(-k) 및 암호화 방법이 필요합니다. 키탭을 서비스의 적절한 디렉터리에 복사해야 합니다.
    예를 들어 다음과 같습니다. 
    # ipa-getkeytab -s server.example.com -p HTTP/server.example.com -k /etc/httpd/conf/krb5.keytab -e aes256-cts
    Copy to Clipboard Toggle word wrap
    • 영역 이름은 선택 사항입니다. IdM 서버는 구성된 Kerberos 영역을 자동으로 추가합니다. 다른 영역을 지정할 수 없습니다.
    • 호스트 이름이 Kerberos와 함께 작동하려면 DNS A 레코드로 변환해야 합니다. --force 플래그를 사용하여 필요한 경우 보안 주체 생성을 강제 적용할 수 있습니다.
    • e 인수 는 keytab에 포함할 암호화 유형의 쉼표로 구분된 목록을 포함할 수 있습니다. 이는 모든 기본 암호화 유형을 대체합니다. 동일한 명령 호출과 함께 옵션을 여러 번 사용하거나, 옵션 목록을 중괄호 안에 쉼표로 구분된 목록으로 나열(예: --option={val1,val2,val3} )하여 설정할 수 있습니다.
    주의
    ipa-getkeytab 명령은 지정된 보안 주체의 시크릿을 재설정합니다. 즉, 해당 주체의 다른 모든 키탭이 잘못 렌더링됩니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat