Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

Identity Management 서비스 액세스

Red Hat Enterprise Linux 10

IdM에 로그인 및 서비스 관리

Red Hat Customer Content Services

초록

Red Hat IdM(Identity Management)에서 관리 작업을 수행하려면 서비스에 로그인해야 합니다. 명령줄 또는 IdM 웹 UI를 사용하여 로그인할 때 Kerberos 및 일회성 암호를 IdM에서 인증 방법으로 사용할 수 있습니다.

Red Hat 문서에 관한 피드백 제공
링크 복사

문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.

Jira를 통해 피드백 제출 (계정 필요)

  1. Jira 웹 사이트에 로그인합니다.
  2. 상단 탐색 바에서 생성을 클릭합니다.
  3. 요약 필드에 설명 제목을 입력합니다.
  4. 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
  5. 대화 상자 하단에서 생성 을 클릭합니다.

1장. 명령줄에서 Identity Management에 로그인
링크 복사

IdM(Identity Management)은 Kerberos 프로토콜을 사용하여 Single Sign-On을 지원합니다. Single Sign-On은 사용자가 올바른 사용자 이름과 암호를 한 번만 입력한 다음 시스템에서 인증 정보를 다시 요청하지 않고 IdM 서비스에 액세스한다는 것을 의미합니다.

중요

IdM에서 SSSD는 사용자가 해당 Kerberos 주체 이름을 사용하여 IdM 클라이언트 시스템의 데스크탑 환경에 성공적으로 로그인한 후 사용자의 TGT( ticket-granting ticket)를 자동으로 가져옵니다. 즉, 로그인 후 사용자가 IdM 리소스에 액세스하는 데 kinit 유틸리티를 사용할 필요가 없습니다.

Kerberos 인증 정보 캐시를 지우거나 Kerberos TGT가 만료된 경우 IdM 리소스에 액세스하려면 Kerberos 티켓을 수동으로 요청해야 합니다. 다음 섹션에서는 IdM에서 Kerberos를 사용할 때 기본적인 사용자 작업을 제공합니다.

1.1. kinit 를 사용하여 IdM에 수동으로 로그인
링크 복사

kinit 유틸리티를 사용하여 IdM(Identity Management) 환경을 수동으로 인증하려면 다음 절차를 따르십시오. kinit 유틸리티는 IdM 사용자를 대신하여 Kerberos 티켓(TGT)을 가져오고 캐시합니다.

초기 Kerberos TGT를 삭제한 경우 또는 만료된 경우에만 이 절차를 사용하십시오. IdM 사용자는 로컬 시스템에 로그인할 때 IdM에 자동으로 로그인됩니다. 즉, 로그인 후 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.

프로세스

  • 현재 로컬 시스템에 로그인한 사용자의 사용자 이름 아래에 로그인하려면 사용자 이름을 지정하지 않고 kinit 를 사용합니다. 예를 들어 로컬 시스템에서 로 <example_user> 로그인한 경우 다음을 수행합니다. 

    [example_user@server ~]$ kinit
Password for example_user@EXAMPLE.COM:
[example_user@server ~]$
    Copy to Clipboard Toggle word wrap

    로컬 사용자의 사용자 이름이 IdM의 사용자 항목과 일치하지 않으면 인증 시도가 실패합니다. 

    [example_user@server ~]$ kinit
kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
    Copy to Clipboard Toggle word wrap

  • 로컬 사용자 이름에 해당하지 않는 Kerberos 주체를 사용하려면 필요한 사용자 이름을 kinit 유틸리티에 전달합니다. 예를 들어 admin 사용자로 로그인하려면 다음을 수행합니다. 

    [example_user@server ~]$ kinit admin
Password for admin@EXAMPLE.COM:
[example_user@server ~]$
    Copy to Clipboard Toggle word wrap
참고

kinit -kt KDB를 사용하여 사용자 티켓을 요청하는 것은 비활성화되어 있습니다. 자세한 내용은 CVE-2024-3183 솔루션 이후에 kinit -kt KDB: user@EXAMPLE.COM 가 더 이상 작동하지 않는 이유를 참조하십시오.

검증

  • 로그인에 성공했는지 확인하려면 klist 유틸리티를 사용하여 캐시된 TGT를 표시합니다. 다음 예에서 캐시에는 example_user 주체에 대한 티켓이 포함되어 있습니다. 즉, 이 특정 호스트에서만 example_user 만 IdM 서비스에 액세스할 수 있습니다. 

    $ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: example_user@EXAMPLE.COM

Valid starting     	Expires            	Service principal
11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

1.2. 사용자의 활성 Kerberos 티켓 삭제
링크 복사

다음 절차에 따라 사용자의 활성 Kerberos 티켓이 포함된 인증 정보 캐시를 지웁니다.

프로세스

  • Kerberos 티켓을 삭제하려면 다음을 수행합니다. 

    [example_user@server ~]$ kdestroy
    Copy to Clipboard Toggle word wrap

검증

  • Kerberos 티켓이 삭제되었는지 확인하려면 다음을 수행합니다. 

    [example_user@server ~]$ klist
klist: Credentials cache keyring 'persistent:0:0' not found
    Copy to Clipboard Toggle word wrap

1.3. Kerberos 인증을 위한 외부 시스템 구성
링크 복사

IdM(Identity Management) 사용자가 Kerberos 자격 증명을 사용하여 외부 시스템에서 IdM에 로그인할 수 있도록 외부 시스템을 구성하려면 다음 절차를 따르십시오.

외부 시스템에서 Kerberos 인증을 활성화하는 것은 인프라에 여러 영역 또는 겹치는 도메인이 포함된 경우 특히 유용합니다. ipa-client-install 을 통해 시스템이 IdM 도메인에 등록되지 않은 경우에도 유용합니다.

IdM 도메인의 멤버가 아닌 시스템에서 Kerberos 인증을 활성화하려면 외부 시스템에 IdM별 Kerberos 구성 파일을 정의합니다.

사전 요구 사항

  • krb5-workstation 패키지는 외부 시스템에 설치됩니다.

    패키지가 설치되었는지 확인하려면 다음 CLI 명령을 사용합니다. 

    # dnf list installed krb5-workstation
Installed Packages
krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS
    Copy to Clipboard Toggle word wrap

프로세스

  1. IdM 서버의 /etc/krb5.conf 파일을 외부 시스템으로 복사합니다. 예를 들면 다음과 같습니다. 

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    Copy to Clipboard Toggle word wrap
    주의

    외부 시스템의 기존 krb5.conf 파일을 덮어쓰지 마십시오.

  2. 외부 시스템에서 복사된 IdM Kerberos 구성 파일을 사용하도록 터미널 세션을 설정합니다. 

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf
    Copy to Clipboard Toggle word wrap

    KRB5_CONFIG 변수는 로그아웃할 때까지 일시적으로만 존재합니다. 이 손실을 방지하려면 다른 파일 이름으로 변수를 내보냅니다.

  3. Kerberos 구성 스니펫을 /etc/krb5.conf.d/ 디렉토리에서 외부 시스템으로 복사합니다.

이제 외부 시스템의 사용자가 kinit 유틸리티를 사용하여 IdM 서버에 대해 인증할 수 있습니다.

2장. Identity Management 서비스 보기, 시작 및 중지
링크 복사

IdM(Identity Management) 서버는 DC(도메인 컨트롤러)로 작동하는 Red Hat Enterprise Linux 시스템입니다. IdM 서버, 특히 디렉터리 서버, CA(인증 기관), DNS 및 Kerberos에서 다양한 서비스가 실행되고 있습니다.

2.1. IdM 서비스
링크 복사

IdM 서버 및 클라이언트에 설치하고 실행할 수 있는 다양한 서비스가 있습니다.

IdM 서버에서 호스팅하는 서비스 목록

다음 서비스의 대부분은 IdM 서버에 엄격하게 설치할 필요는 없습니다. 예를 들어 IdM 도메인 외부의 외부 서버에 CA(인증 기관) 또는 DNS 서버와 같은 서비스를 설치할 수 있습니다.

Kerberos
krb5kdckadmin 서비스

IdM은 Kerberos 프로토콜을 사용하여 Single Sign-On을 지원합니다. Kerberos를 사용하면 사용자가 올바른 사용자 이름과 암호만 한 번만 제공하고 시스템 인증 정보를 다시 입력하라는 메시지 없이 IdM 서비스에 액세스할 수 있습니다.

Kerberos는 다음 두 부분으로 나뉩니다.

  • krb5kdc 서비스는 Kerberos Authentication 서비스 및 KMS(Key Distribution Center) 데몬입니다.
  • kadmin 서비스는 Kerberos 데이터베이스 관리 프로그램입니다.

IdM에서 Kerberos를 사용하여 인증하는 방법에 대한 자세한 내용은 명령줄에서 Identity Management에 로그인을참조하십시오.

웹 UI에서 IdM 로그인: Kerberos 티켓 사용

LDAP 디렉터리 서버
dirsrv 서비스

IdM LDAP 디렉터리 서버 인스턴스는 Kerberos, 사용자 계정, 호스트 항목, 서비스, 정책, DNS 등과 관련된 정보와 같은 모든 IdM 정보를 저장합니다. LDAP 디렉터리 서버 인스턴스는 Red Hat Directory Server 와 동일한 기술을 기반으로 합니다. 그러나 IdM별 작업에 맞게 조정됩니다.

인증 기관
pki-tomcatd 서비스

통합된 CA(인증 기관)Red Hat Certificate System 과 동일한 기술을 기반으로 합니다. PKI 는 인증서 시스템 서비스에 액세스하기 위한 명령줄입니다.

필요한 모든 인증서를 개별적으로 생성하고 제공하는 경우 통합 CA 없이 서버를 설치할 수도 있습니다.

자세한 내용은 CA 서비스 계획을 참조하십시오.

DNS(Domain Name System)
named 서비스

IdM은 동적 서비스 검색에 DNS 를 사용합니다. IdM 클라이언트 설치 유틸리티는 DNS의 정보를 사용하여 클라이언트 시스템을 자동으로 구성할 수 있습니다. 클라이언트가 IdM 도메인에 등록된 후 DNS를 사용하여 도메인 내에서 IdM 서버 및 서비스를 찾습니다. Red Hat Enterprise Linux에서 DNS(Domain Name System) 프로토콜의 BIND (Berkeley Internet Name Domain) 구현에는 이름이 지정된 DNS 서버가 포함되어 있습니다.

자세한 내용은 DNS 서비스 및 호스트 이름 계획을 참조하십시오.

Apache HTTP Server
httpd 서비스

Apache HTTP 웹 서버는 IdM 웹 UI를 제공하고 인증 기관과 기타 IdM 서비스 간의 통신을 관리합니다.

Samba / Winbind
SMBwinbind 서비스

Samba는 Red Hat Enterprise Linux에서 CIFS(Common Internet File System) 프로토콜이라고도 하는 SMB(Server Message Block) 프로토콜을 구현합니다. smb 서비스를 통해 SMB 프로토콜을 사용하면 파일 공유 및 공유 프린터와 같은 서버의 리소스에 액세스할 수 있습니다. AD(Active Directory) 환경을 사용하여 Trust를 구성한 경우'Winbind' 서비스는 IdM 서버와 AD 서버 간의 통신을 관리합니다.

일회성 암호(OTP) 인증
ipa-otpd 서비스

일회성 암호(OTP)는 이중 인증의 일부로 하나의 세션에 대해서만 인증 토큰에 의해 생성되는 암호입니다. OTP 인증은 ipa-otpd 서비스를 통해 Red Hat Enterprise Linux에서 구현됩니다.

자세한 내용은 한 번 암호를 사용하여 ID 관리 웹 UI에 로그인을 참조하십시오.

OpenDNSSEC
ipa-dnskeysyncd 서비스

OpenDNSSEC 는 DNSSEC(DNS 보안 확장) 키와 영역 서명을 추적하는 프로세스를 자동화하는 DNS 관리자입니다. ipa-dnskeysyncd 서비스는 IdM Directory Server와 OpenDNSSEC 간의 동기화를 관리합니다.

Identity Management Server: 서비스 통합
View larger image
Identity Management Server: 서비스 통합
참고

DNSSEC는 IdM에서 기술 프리뷰로만 사용할 수 있습니다.

IdM 클라이언트에서 호스팅하는 서비스 목록

  • System Security Services Daemon: sssd 서비스

SSSD( System Security Services Daemon )는 사용자 인증 및 캐싱 자격 증명을 관리하는 클라이언트 측 애플리케이션입니다. 캐싱을 사용하면 IdM 서버를 사용할 수 없게 되거나 클라이언트가 오프라인 상태가 되면 로컬 시스템이 정상적인 인증 작업을 계속할 수 있습니다.

자세한 내용은 SSSD 이해 및 해당 이점을 참조하십시오.

  • certmonger: certmonger 서비스

certmonger 서비스는 클라이언트에서 인증서를 모니터링하고 갱신합니다. 시스템에서 서비스에 대한 새 인증서를 요청할 수 있습니다.

자세한 내용은 certmonger 를 사용하여 서비스의 IdM 인증서 가져오기를 참조하십시오.

IdM 서비스 간 상호 작용
View larger image
IdM 서비스 간 상호 작용

2.2. IdM 서비스의 상태 보기
링크 복사

IdM 서버에 구성된 IdM 서비스의 상태를 보려면 ipactl status 명령을 실행합니다. 

[root@server ~]# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
pki-tomcatd Service: RUNNING
smb Service: RUNNING
winbind Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
Copy to Clipboard Toggle word wrap

서버의 ipactl status 명령의 출력은 IdM 구성에 따라 다릅니다. 예를 들어 IdM 배포에 DNS 서버가 포함되어 있지 않으면 이름이 지정된 서비스가 목록에 없습니다.

참고

IdM 웹 UI를 사용하여 특정 IdM 서버에서 실행 중인 모든 IdM 서비스의 상태를 볼 수 없습니다. 다른 서버에서 실행되는 Kerberized 서비스는 IdM 웹 UI의 ID서비스 탭에서 볼 수 있습니다.

2.3. 전체 Identity Management 서버 시작 및 중지
링크 복사

ipa systemd 서비스를 사용하여 설치된 모든 서비스와 함께 전체 IdM 서버를 중지, 시작 또는 다시 시작합니다. systemctl 유틸리티를 사용하여 ipa systemd 서비스를 제어하면 모든 서비스가 적절한 순서로 중지, 시작 또는 재시작됩니다. ipa systemd 서비스는 IdM 서비스를 시작하기 전에 RHEL IdM 구성을 업그레이드하고 IdM 서비스로 관리할 때 적절한 SELinux 컨텍스트를 사용합니다. systemctl ipa 명령을 실행하려면 유효한 Kerberos 티켓을 사용할 필요가 없습니다.

IPA systemd 서비스 명령

전체 IdM 서버를 시작하려면 다음을 수행합니다. 

# systemctl start ipa
Copy to Clipboard Toggle word wrap

전체 IdM 서버를 중지하려면 다음을 수행합니다. 

# systemctl stop ipa
Copy to Clipboard Toggle word wrap

전체 IdM 서버를 다시 시작하려면 다음을 수행합니다. 

# systemctl restart ipa
Copy to Clipboard Toggle word wrap

IdM을 구성하는 모든 서비스의 상태를 표시하려면 ipactl 유틸리티를 사용합니다. 

# ipactl status
Copy to Clipboard Toggle word wrap
중요
  • ipactl 유틸리티를 사용하여 IdM 서비스를 시작, 중지 또는 다시 시작하지 마십시오. 대신 systemctl ipa 명령을 사용하여 예측 가능한 환경에서 ipactl 유틸리티를 호출합니다.
  • IdM 웹 UI를 사용하여 ipactl 명령을 수행할 수 없습니다.

2.4. 개별 Identity Management 서비스 시작 및 중지
링크 복사

일반적으로 IdM 구성 파일을 수동으로 변경하는 것은 권장되지 않습니다. 그러나 특정 상황에서는 관리자가 특정 서비스에 대한 수동 구성을 수행해야 합니다. 이러한 경우 systemctl 유틸리티를 사용하여 개별 IdM 서비스를 중지, 시작 또는 다시 시작합니다.

예를 들어 다른 IdM 서비스를 수정하지 않고 Directory Server 동작을 사용자 정의한 후 systemctl 을 사용합니다. 

# systemctl restart dirsrv@REALM-NAME.service
Copy to Clipboard Toggle word wrap

또한 Active Directory를 사용하여 IdM 신뢰를 처음 배포할 때 /etc/sssd/sssd.conf 파일을 수정하여 다음을 추가합니다.

  • 원격 서버의 대기 시간이 긴 환경에서 시간 초과 구성 옵션을 조정하는 특정 매개변수
  • Active Directory 사이트 선호도를 조정하는 특정 매개변수
  • 글로벌 IdM 설정에서 제공하지 않는 특정 구성 옵션에 대한 덮어쓰기

/etc/sssd/sssd.conf 파일에서 변경한 사항을 적용하려면 다음을 수행합니다. 

# systemctl restart sssd.service
Copy to Clipboard Toggle word wrap

SSSD(System Security Services Daemon)에서 설정을 자동으로 다시 읽거나 다시 적용하지 않으므로 systemctl restart sssd.service 를 실행하는 것이 필요합니다.

IdM ID 범위에 영향을 미치는 변경 사항은 전체 서버 재부팅이 권장됩니다.

중요

여러 IdM 도메인 서비스를 다시 시작하려면 항상 systemctl restart ipa 를 사용합니다. IdM 서버와 함께 설치된 서비스 간의 종속성으로 인해 시작 및 중지된 순서가 중요합니다. ipa systemd 서비스는 서비스가 적절한 순서로 시작되고 중지되도록 합니다.

유용한 systemctl 명령

특정 IdM 서비스를 시작하려면 다음을 수행합니다. 

# systemctl start name.service
Copy to Clipboard Toggle word wrap

특정 IdM 서비스를 중지하려면 다음을 수행합니다. 

# systemctl stop name.service
Copy to Clipboard Toggle word wrap

특정 IdM 서비스를 다시 시작하려면 다음을 수행합니다. 

# systemctl restart name.service
Copy to Clipboard Toggle word wrap

특정 IdM 서비스의 상태를 보려면 다음을 수행합니다. 

# systemctl status name.service
Copy to Clipboard Toggle word wrap
중요

IdM 웹 UI를 사용하여 IdM 서버에서 실행되는 개별 서비스를 시작하거나 중지할 수 없습니다. ID → 서비스로 이동하고 서비스를 선택하여 웹 UI만 사용하여 Kerberized 서비스의 설정을 수정할 수 있습니다.

2.5. IdM 소프트웨어 버전을 표시하는 방법
링크 복사

다음과 같이 IdM 버전 번호를 표시할 수 있습니다.

  • IdM WebUI
  • ipa 명령
  • rpm 명령

 

웹 UI를 통해 버전 표시

IdM WebUI의 오른쪽 상단에 있는 사용자 이름 메뉴에서 정보를 선택하여 소프트웨어 버전을 표시할 수 있습니다.

IdM 소프트웨어 버전 확인
View larger image
IdM 소프트웨어 버전 확인
ipa 명령으로 버전 표시

명령줄에서 ipa --version 명령을 사용합니다. 

[root@server ~]# ipa --version
VERSION: 4.8.0, API_VERSION: 2.233
Copy to Clipboard Toggle word wrap
rpm 명령으로 버전 표시

IdM 서비스가 제대로 작동하지 않는 경우 rpm 유틸리티를 사용하여 현재 설치된 ipa-server 패키지의 버전 번호를 확인할 수 있습니다. 

[root@server ~]# rpm -q ipa-server
ipa-server-4.8.0-11.module+el8.1.0+4247+9f3fd721.x86_64
Copy to Clipboard Toggle word wrap

3장. IdM 명령줄 유틸리티 소개
링크 복사

IdM(Identity Management) 명령줄 유틸리티 사용의 기본 사항에 대해 자세히 알아보십시오.

사전 요구 사항

  • IdM 서버를 설치하고 액세스할 수 있습니다.

    자세한 내용은 Identity Management 설치를 참조하십시오.

  • IPA 명령줄 인터페이스를 사용하려면 유효한 Kerberos 티켓을 사용하여 IdM으로 인증합니다.

3.1. IPA 명령줄 인터페이스란
링크 복사

IPA CLI(명령줄 인터페이스)는 IdM(Identity Management) 관리를 위한 기본 명령줄 인터페이스입니다.

새 사용자를 추가하는 ipa user-add 명령과 같이 IdM을 관리하기 위한 많은 하위 명령을 지원합니다.

IPA CLI를 사용하면 다음을 수행할 수 있습니다.

  • 네트워크에서 사용자, 그룹, 호스트 및 기타 오브젝트를 추가, 관리 또는 제거합니다.
  • 인증서를 관리합니다.
  • 항목 검색.
  • 오브젝트를 표시하고 나열합니다.
  • 액세스 권한을 설정합니다.
  • 올바른 명령 구문에 대한 도움말을 가져옵니다.

3.2. IPA 지원이란 무엇입니까?
링크 복사

IPA 도움말은 IdM 서버의 기본 제공 문서 시스템입니다.

IPA CLI(명령줄 인터페이스)는 로드된 IdM 플러그인 모듈에서 사용 가능한 도움말 주제를 생성합니다. IPA 도움말 유틸리티를 사용하려면 다음을 수행해야 합니다.

  • IdM 서버가 설치되어 실행 중이어야 합니다.
  • 유효한 Kerberos 티켓을 사용하여 인증해야 합니다.

옵션 없이 ipa help 명령을 입력하면 기본 도움말 사용법 및 가장 일반적인 명령 예제에 대한 정보가 표시됩니다.

다른 ipa 도움말 사용 사례에 다음 옵션을 사용할 수 있습니다. 

$ ipa help [TOPIC | COMMAND | topics | commands]
Copy to Clipboard Toggle word wrap
  • [] Cryostat- Cryostatbrackets는 모든 매개변수가 선택 사항임을 의미하며 ipa 도움말 만 작성할 수 있으며 명령이 실행됩니다.

  • | Cryostat-floatingthe 파이프 문자는 또는 을 의미합니다. 따라서 기본 ipa help 명령을 사용하여 backgroundIC, COMMAND 또는 topics 또는 명령을 지정할 수 있습니다.

    • 주제 Cryostat - ipa 도움말 주제 를 실행하여 사용자, 인증서,서버 등과 같은 IPA 도움말에서 다루는 주제 목록을 표시할 수 있습니다.
    • k l---- capital letters 있는 CryostatIC는 변수입니다. 따라서 특정 주제(예: ipa help 사용자 )를 지정할 수 있습니다.
    • ipa help 명령을 입력하여 IPA 도움말(예: user-add,ca-enable,server-show 등)이 적용되는 명령 목록을 표시할 수 있습니다.
    • 대문자가 포함된 COMMAND 는 변수입니다. 따라서 특정 명령(예: ipa help user-add )을 지정할 수 있습니다.

3.3. IPA 도움말 주제 사용
링크 복사

다음 절차에서는 명령줄에서 IPA 도움말을 사용하는 방법을 설명합니다.

프로세스

  1. 터미널을 열고 IdM 서버에 연결합니다.

  2. ipa 도움말 주제 를 입력하여 도움말에서 다루는 주제 목록을 표시합니다. 

    $ ipa help topics
    Copy to Clipboard Toggle word wrap

  3. 주제 중 하나를 선택하고 다음 패턴에 따라 명령을 생성합니다. ipa help [topic_name]. topic_name 문자열 대신 이전 단계에서 나열한 주제 중 하나를 추가합니다.

    이 예제에서는 다음 주제를 사용합니다. user 

    $ ipa help user
    Copy to Clipboard Toggle word wrap

  4. (선택 사항) IPA 도움말 출력이 너무 길고 전체 텍스트를 볼 수 없는 경우 다음 구문을 사용합니다. 

    $ ipa help user | less
    Copy to Clipboard Toggle word wrap

    그런 다음 아래로 스크롤하여 전체 도움말을 읽을 수 있습니다.

IPA CLI에는 사용자 주제의 도움말 페이지가 표시됩니다. 개요를 읽은 후 주제 명령을 사용하기 위한 패턴이 포함된 많은 예제를 볼 수 있습니다.

3.4. IPA 도움말 명령 사용
링크 복사

다음 절차에서는 명령줄에서 IPA 도움말 명령을 생성하는 방법을 설명합니다.

프로세스

  1. 터미널을 열고 IdM 서버에 연결합니다.

  2. ipa help 명령을 입력하여 help에서 다루는 명령 목록을 표시합니다. 

    $ ipa help commands
    Copy to Clipboard Toggle word wrap

  3. 명령 중 하나를 선택하고 다음 패턴에 따라 도움말 명령을 생성합니다. ipa help < COMMAND>. < COMMAND& gt; 문자열 대신 이전 단계에서 나열한 명령 중 하나를 추가합니다. 

    $ ipa help user-add
    Copy to Clipboard Toggle word wrap

3.5. IPA 명령 구조
링크 복사

IPA CLI는 다음 유형의 명령을 구분합니다.

  • IdM 서버에서 기본 제공 명령 Cryostat- Cryostat 기본 제공 명령을 모두 사용할 수 있습니다.
  • 플러그인 제공 명령

IPA 명령의 구조를 사용하면 다양한 유형의 오브젝트를 관리할 수 있습니다. 예를 들면 다음과 같습니다.

  • 사용자
  • 호스트
  • DNS 레코드
  • 인증서

그리고 많은 다른.

이러한 오브젝트 대부분에서 IPA CLI에는 다음에 대한 명령이 포함되어 있습니다.

  • 추가 (추가)
  • 수정 (mod)
  • 삭제(del)
  • 검색(검색)
  • 표시(표시)

명령에는 다음과 같은 구조가 있습니다.

ipa user-add, ipa user-mod, ipa user-del, ipa user-find, ipa user-show

ipa host-add,ipa host-mod,ipa host-del,ipa host-find,ipa host-show

ipa dnsrecord-add,ipa dnsrecord-mod,ipa dnsrecord-del,ipa dnsrecord-find,ipa dnrecord-show

ipa user-add [options] 를 사용하여 사용자를 생성할 수 있습니다. 여기서 [options] 는 선택 사항입니다. ipa user-add 명령만 사용하는 경우 스크립트에서 세부 정보를 하나씩 요청합니다.

[options] --raw--structured 는 함께 사용할 수 없으며 함께 실행하지 않아야 합니다.

기존 오브젝트를 변경하려면 오브젝트를 정의해야 하므로 명령에 'ipa user-mod USER_NAME' 오브젝트도 포함됩니다.

3.6. IPA 명령을 사용하여 IdM에 사용자 계정 추가
링크 복사

다음 절차에서는 명령줄을 사용하여 IdM(Identity Management) 데이터베이스에 새 사용자를 추가하는 방법을 설명합니다.

사전 요구 사항

  • 관리자 권한이 있습니다.

프로세스

  1. 터미널을 열고 IdM 서버에 연결합니다.

  2. 새 사용자를 추가하기 위한 명령을 입력합니다. 

    $ ipa user-add
    Copy to Clipboard Toggle word wrap

    이 명령은 사용자 계정을 생성하는 데 필요한 기본 데이터를 제공하도록 요청하는 스크립트를 실행합니다.

  3. First name: 필드에 새 사용자의 이름을 입력하고 Enter 키를 누릅니다.
  4. 성: 필드에 새 사용자의 성을 입력하고 Enter 키를 누릅니다.

  5. User login [suggested user name]: 사용자 이름을 입력하거나 Enter 키를 눌러 제안된 사용자 이름을 수락합니다.

    사용자 이름은 전체 IdM 데이터베이스에 대해 고유해야 합니다. 해당 사용자 이름이 이미 존재하기 때문에 오류가 발생하면 ipa user-add 명령과 함께 프로세스를 반복하고 다른 고유한 사용자 이름을 사용합니다.

사용자 이름을 추가하면 사용자 계정이 IdM 데이터베이스에 추가되고 IPA CLI(명령줄 인터페이스)는 다음 출력을 출력합니다. 

----------------------
Added user "euser"
----------------------
User login: euser
First name: Example
Last name: User
Full name: Example User
Display name: Example User
Initials: EU
Home directory: /home/euser
GECOS: Example User
Login shell: /bin/sh
Principal name: euser@IDM.EXAMPLE.COM
Principal alias: euser@IDM.EXAMPLE.COM
Email address: euser@idm.example.com
UID: 427200006
GID: 427200006
Password: False
Member of groups: ipausers
Kerberos keys available: False
Copy to Clipboard Toggle word wrap
참고

기본적으로 사용자 암호는 사용자 계정에 설정되어 있지 않습니다. 사용자 계정을 생성하는 동안 암호를 추가하려면 다음 구문과 함께 ipa user-add 명령을 사용합니다. 

$ ipa user-add --first=Example --last=User --password
Copy to Clipboard Toggle word wrap

그러면 IPA CLI에서 사용자 이름과 암호를 추가하거나 확인하라는 메시지가 표시됩니다.

사용자가 이미 생성된 경우 ipa user-mod 명령을 사용하여 암호를 추가할 수 있습니다.

3.7. IPA 명령을 사용하여 IdM에서 사용자 계정 수정
링크 복사

각 사용자 계정에 대해 다양한 매개변수를 수정할 수 있습니다. 예를 들어 사용자에게 새 암호를 추가할 수 있습니다.

사전 요구 사항

  • 관리자 권한이 있습니다.

프로세스

  1. 터미널을 열고 IdM 서버에 연결합니다.

  2. ipa user-mod 명령을 입력하고 수정할 사용자 및 암호를 추가하기 위한 --password 와 같은 옵션을 지정합니다. 

    $ ipa user-mod euser --password
    Copy to Clipboard Toggle word wrap

    명령은 새 암호를 추가할 수 있는 스크립트를 실행합니다.

  3. 새 암호를 입력하고 Enter 키를 누릅니다.

IPA CLI는 다음 출력을 출력합니다. 

----------------------
Modified user "euser"
----------------------
User login: euser
First name: Example
Last name: User
Home directory: /home/euser
Principal name: euser@IDM.EXAMPLE.COM
Principal alias: euser@IDM.EXAMPLE.COM
Email address: euser@idm.example.com
UID: 427200006
GID: 427200006
Password: True
Member of groups: ipausers
Kerberos keys available: True
Copy to Clipboard Toggle word wrap

이제 사용자 암호가 계정에 설정되고 사용자가 IdM에 로그인할 수 있습니다.

3.8. IdM 유틸리티에 값 목록을 제공하는 방법
링크 복사

IdM(Identity Management)은 다중 값 속성의 값을 목록에 저장합니다.

IdM은 다중 값 목록을 제공하는 다음 방법을 지원합니다.

  • 동일한 명령줄 인수를 동일한 명령 호출 내에서 여러 번 사용합니다. 

    $ ipa permission-add --right=read --permissions=write --permissions=delete ...
    Copy to Clipboard Toggle word wrap

  • 또는 중괄호로 목록을 묶을 수 있습니다. 이 경우 쉘이 확장을 수행합니다. 

    $ ipa permission-add --right={read,write,delete} ...
    Copy to Clipboard Toggle word wrap

위의 예제에서는 오브젝트에 권한을 추가하는 permission-add 명령을 보여줍니다. 예제에는 개체가 표시되지 않습니다. …​ 대신 권한을 추가하려는 오브젝트를 추가해야 합니다.

명령줄에서 이러한 다중 값 속성을 업데이트할 때 IdM은 이전 값 목록을 새 목록으로 완전히 덮어씁니다. 따라서 다중 값 특성을 업데이트할 때 추가하려는 단일 값뿐만 아니라 전체 새 목록을 지정해야 합니다.

예를 들어 위의 명령에서 권한 목록에는 읽기, 쓰기, 삭제가 포함됩니다. permission-mod 명령으로 목록을 업데이트하려면 모든 값을 추가해야 합니다. 그러지 않으면 언급된 값이 삭제됩니다.

예 1: Cryostat- Cryostat ipa permission-mod 명령은 이전에 추가한 모든 권한을 업데이트합니다. 

$ ipa permission-mod --right=read --right=write --right=delete ...
Copy to Clipboard Toggle word wrap

또는 

$ ipa permission-mod --right={read,write,delete} ...
Copy to Clipboard Toggle word wrap

예제 2 Cryostat- Cryostat ipa permission-mod 명령은 명령에 포함되지 않기 때문에 --right=delete 인수를 삭제합니다. 

$ ipa permission-mod --right=read --right=write ...
Copy to Clipboard Toggle word wrap

또는 

$ ipa permission-mod --right={read,write} ...
Copy to Clipboard Toggle word wrap

3.9. IdM 유틸리티와 함께 특수 문자를 사용하는 방법
링크 복사

ipa 명령에 특수 문자가 포함된 명령줄 인수를 전달할 때 백슬래시(\)로 이 문자를 이스케이프합니다. 예를 들어 일반적인 특수 문자에는 매트 대괄호(< 및 >), 앰퍼샌드(&), 별표(*) 또는 수직 표시줄(|)이 포함됩니다.

예를 들어 별표*를 이스케이프하려면 다음을 수행합니다. 

$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg
Copy to Clipboard Toggle word wrap

쉘에서 이러한 문자를 올바르게 구문 분석할 수 없기 때문에 이스케이프되지 않은 특수 문자가 포함된 명령이 예상대로 작동하지 않습니다.

4장. 명령줄에서 Identity Management 항목 검색
링크 복사

다음 섹션에서는 오브젝트를 찾고 표시하는 데 도움이 되는 IdM 명령을 사용하는 방법을 설명합니다.

4.1. IdM 항목 나열 개요
링크 복사

ipa *-find 명령을 사용하여 특정 유형의 IdM 항목을 검색할 수 있습니다.

find 명령을 모두 나열하려면 다음 ipa help 명령을 사용합니다. 

$ ipa help commands | grep find
Copy to Clipboard Toggle word wrap

특정 사용자가 IdM 데이터베이스에 포함되어 있는지 확인해야 할 수 있습니다. 그런 다음 다음 명령을 사용하여 모든 사용자를 나열할 수 있습니다. 

$ ipa user-find
Copy to Clipboard Toggle word wrap

지정된 속성에 키워드가 포함된 사용자 그룹을 나열하려면 다음을 수행합니다. 

$ ipa group-find keyword
Copy to Clipboard Toggle word wrap

예를 들어 ipa group-find admin 명령은 이름 또는 설명에 문자열 admin 이 포함된 모든 그룹을 나열합니다. 

----------------
3 groups matched
----------------
   Group name: admins
   Description: Account administrators group
   GID: 427200002

   Group name: editors
   Description: Limited admins who can edit other users
   GID: 427200002

   Group name: trust admins
   Description: Trusts administrators group
Copy to Clipboard Toggle word wrap

사용자 그룹을 검색할 때 검색 결과를 특정 사용자가 포함된 그룹으로 제한할 수도 있습니다. 

$ ipa group-find --user=user_name
Copy to Clipboard Toggle word wrap

특정 사용자가 포함되지 않은 그룹을 검색하려면 다음을 수행합니다. 

$ ipa group-find --no-user=user_name
Copy to Clipboard Toggle word wrap

4.2. 특정 항목에 대한 세부 정보 표시
링크 복사

ipa *-show 명령을 사용하여 특정 IdM 항목에 대한 세부 정보를 표시합니다.

프로세스

  • server.example.com 이라는 호스트에 대한 세부 정보를 표시하려면 다음을 수행합니다. 

    $ ipa host-show server.example.com

Host name: server.example.com
Principal name: host/server.example.com@EXAMPLE.COM
...
    Copy to Clipboard Toggle word wrap

4.3. 검색 크기 및 시간 제한 조정
링크 복사

IdM 사용자 목록을 요청하는 것과 같은 일부 쿼리는 매우 많은 항목을 반환할 수 있습니다. 이러한 검색 작업을 튜닝하면 ipa *-find 명령(예: ipa user-find )을 실행할 때 전체 서버 성능을 개선하고 웹 UI에 해당 목록을 표시할 때 사용할 수 있습니다.

검색 크기 제한

클라이언트 CLI에서 서버로 전송되는 요청에 대해 반환되거나 IdM 웹 UI에 액세스하는 브라우저에서 반환되는 최대 항목 수를 정의합니다.

기본값: 100개의 항목.

검색 시간 제한

서버가 검색을 실행할 때까지 대기하는 최대 시간(초)을 정의합니다. 검색이 이 제한에 도달하면 서버가 검색을 중지하고 해당 시간 내에 검색된 항목을 반환합니다.

기본값: 2초.

값을 -1 로 설정하면 IdM은 검색할 때 제한을 적용하지 않습니다.

중요

검색 크기 또는 시간 제한을 너무 높게 설정하면 서버 성능에 부정적인 영향을 미칠 수 있습니다.

4.3.1. 명령줄에서 검색 크기 및 시간 제한 조정
링크 복사

검색 크기 및 시간 제한을 전역적으로 조정하거나 특정 항목에 대해 조정하여 검색 성능과 응답성을 최적화할 수 있습니다.

프로세스

  1. CLI에서 현재 검색 시간 및 크기 제한을 표시하려면 ipa config-show 명령을 사용합니다. 

    $ ipa config-show

Search time limit: 2
Search size limit: 100
    Copy to Clipboard Toggle word wrap

  2. 모든 쿼리에 대해 제한을 전역적으로 조정하려면 ipa config-mod 명령을 사용하고 --searchrecordslimit--searchtimelimit 옵션을 추가합니다. 예를 들면 다음과 같습니다. 

    $ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
    Copy to Clipboard Toggle word wrap

  3. 특정 쿼리에 대해서만 제한을 임시 로 조정하려면 명령에 --sizelimit 또는 --timelimit 옵션을 추가합니다. 예를 들면 다음과 같습니다. 

    $ ipa user-find --sizelimit=200 --timelimit=120
    Copy to Clipboard Toggle word wrap

4.3.2. 웹 UI에서 검색 크기 및 시간 제한 조정
링크 복사

IdM 웹 UI를 사용하여 글로벌 검색 크기 및 시간 제한을 조정하여 검색 성능과 응답을 최적화할 수 있습니다.

프로세스

  1. IdM 웹 UI에 로그인합니다.
  2. IPA 서버 를 클릭합니다.
  3. IPA 서버 탭에서 구성 을 클릭합니다.

  4. Search Options 영역에서 필요한 값을 설정합니다.

    기본값은 다음과 같습니다.

    • 검색 크기 제한: 100개의 항목
    • 검색 시간 제한: 2초
  5. 페이지 상단에서 저장을 클릭합니다.

5장. 웹 브라우저에서 IdM 웹 UI에 액세스
링크 복사

IdM(Identity Management) 웹 UI는 IdM 관리를 위한 웹 애플리케이션이며 IdM CLI(명령줄 인터페이스)에 대한 그래픽 대안입니다.

5.1. IdM 웹 UI란
링크 복사

IdM(Identity Management) 웹 UI는 IdM 관리를 위한 웹 애플리케이션입니다. 다음과 같이 IdM 웹 UI에 액세스할 수 있습니다.

  • IdM 사용자: IdM 서버의 사용자에게 부여된 권한에 따라 제한된 작업 세트입니다. 기본적으로 활성 IdM 사용자는 IdM 서버에 로그인하고 자체 계정을 구성할 수 있습니다. 다른 사용자 또는 IdM 서버 설정의 설정을 변경할 수 없습니다.
  • 관리자: IdM 서버에 대한 전체 액세스 권한.
  • Active Directory 사용자: 사용자에게 부여된 권한에 따라 작업 집합입니다. Active Directory 사용자는 이제 Identity Management의 관리자일 수 있습니다. 자세한 내용은 AD 사용자가 IdM을 관리하도록 활성화를 참조하십시오.

5.2. 웹 UI에 액세스하는 데 지원되는 웹 브라우저
링크 복사

IdM(Identity Management)은 웹 UI에 연결하기 위해 다음 브라우저를 지원합니다.

  • Mozilla Firefox 38 이상
  • Google Chrome 46 이상

브라우저가 TLS v1.3을 사용하려고 하면 스마트 카드로 IdM 웹 UI에 액세스하는 데 문제가 발생할 수 있습니다. 

[ssl:error] [pid 125757:tid 140436077168384] [client 999.999.999.999:99999] AH: verify client post handshake
[ssl:error] [pid 125757:tid 140436077168384] [client 999.999.999.999:99999] AH10158: cannot perform post-handshake authentication
[ssl:error] [pid 125757:tid 140436077168384] SSL Library Error: error:14268117:SSL routines:SSL_verify_client_post_handshake:extension not received
Copy to Clipboard Toggle word wrap

이는 최신 버전의 브라우저에 기본적으로 TLS PHA(Post-Handshake Authentication)가 활성화되거나 PHA를 지원하지 않기 때문입니다. PHA는 스마트 카드 인증을 사용하여 IdM 웹 UI에 액세스하는 경우와 같이 웹 사이트의 일부에만 TLS 클라이언트 인증서가 필요합니다.

Mozilla Firefox 68 이상에서 이 문제를 해결하려면 TLS PHA를 활성화합니다.

  1. 주소 표시줄에 about:config 를 입력하여 Mozilla Firefox 기본 설정 메뉴에 액세스합니다.
  2. 검색 창에 security.tls.enable_post_handshake_auth 를 입력합니다.
  3. 토글 버튼을 클릭하여 매개변수를 true로 설정합니다.

현재 PHA를 지원하지 않는 Chrome에 대한 이 문제를 해결하려면 TLS v1.3을 비활성화합니다.

  1. /etc/httpd/conf.d/ssl.conf 구성 파일을 엽니다.

  2. SSLProtocol 옵션에 -TLSv1.3 을 추가합니다. 

    SSLProtocol all -TLSv1 -TLSv1.1 -TLSv1.3
    Copy to Clipboard Toggle word wrap

  3. httpd 서비스를 다시 시작합니다. 

    service httpd restart
    Copy to Clipboard Toggle word wrap

IdM은 ssl.conf 파일을 관리하고 패키지 업데이트 중에 해당 콘텐츠를 덮어쓸 수 있습니다. IdM 패키지를 업데이트한 후 사용자 지정 설정을 확인합니다.

5.3. 웹 UI에 액세스
링크 복사

다음 절차에서는 암호를 사용하여 IdM(Identity Management) 웹 UI에 처음 로그인하는 방법을 설명합니다.

첫 번째 로그인 후 인증할 IdM 서버를 구성할 수 있습니다.

프로세스

  1. 브라우저 주소 표시줄에 IdM 서버 URL을 입력합니다. 이름은 다음 예와 유사합니다. 

    https://server.example.com
    Copy to Clipboard Toggle word wrap

    IdM 서버의 DNS 이름으로 server.example.com 만 변경해야 합니다.

    이렇게 하면 브라우저에 IdM 웹 UI 로그인 화면이 열립니다.

    Screenshot of the IdM Web UI accessed within a web browser displaying a "Username" field and a "Password" field. There is a blue "Log in" button below and to the right of those two fields.

    • 서버가 응답하지 않거나 로그인 화면이 열려 있지 않으면 연결 중인 IdM 서버의 DNS 설정을 확인합니다.

    • 자체 서명된 인증서를 사용하는 경우 브라우저에서 경고를 발행합니다. 인증서를 확인하고 보안 예외를 수락하여 로그인을 진행합니다.

      보안 예외를 방지하려면 인증 기관에서 서명한 인증서를 설치합니다.

  2. 웹 UI 로그인 화면에서 IdM 서버 설치 중에 추가한 관리자 계정 인증 정보를 입력합니다.

    자세한 내용은 통합 CA를 사용하여 통합 DNS를 사용하여 ID 관리 서버 설치를 참조하십시오.

    이미 IdM 서버에 입력된 경우 개인 계정 자격 증명을 입력할 수 있습니다.

    A Screenshot of the IdM Web UI with the "Username" field filled in with "admin" and the "Password" field displays several black circles obfuscating the password by replacing the characters tat were typed in.

  3. Log in 을 클릭합니다.

로그인에 성공한 후 IdM 서버 구성을 시작할 수 있습니다.

6장. 웹 UI에서 IdM 로그인: Kerberos 티켓 사용
링크 복사

IdM 웹 UI에 Kerberos 로그인을 활성화하고 Kerberos 인증을 사용하여 IdM에 액세스하도록 환경을 구성하는 방법에 대해 자세히 알아보십시오.

사전 요구 사항

6.1. Identity Management의 Kerberos 인증
링크 복사

IdM(Identity Management)은 Kerberos 프로토콜을 사용하여 Single Sign-On을 지원합니다. Single Sign-On 인증을 사용하면 올바른 사용자 이름과 암호를 한 번만 제공할 수 있으며 시스템에서 인증 정보를 다시 입력하라는 메시지 없이 Identity Management 서비스에 액세스할 수 있습니다.

DNS 및 인증서 설정이 올바르게 구성된 경우 IdM 서버는 설치 직후 Kerberos 인증을 제공합니다. 자세한 내용은 Identity Management 설치를 참조하십시오.

호스트에서 Kerberos 인증을 사용하려면 다음을 설치합니다.

6.2. kinit 를 사용하여 IdM에 수동으로 로그인
링크 복사

kinit 유틸리티를 사용하여 IdM(Identity Management) 환경을 수동으로 인증하려면 다음 절차를 따르십시오. kinit 유틸리티는 IdM 사용자를 대신하여 Kerberos 티켓(TGT)을 가져오고 캐시합니다.

초기 Kerberos TGT를 삭제한 경우 또는 만료된 경우에만 이 절차를 사용하십시오. IdM 사용자는 로컬 시스템에 로그인할 때 IdM에 자동으로 로그인됩니다. 즉, 로그인 후 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.

프로세스

  • 현재 로컬 시스템에 로그인한 사용자의 사용자 이름 아래에 로그인하려면 사용자 이름을 지정하지 않고 kinit 를 사용합니다. 예를 들어 로컬 시스템에서 로 <example_user> 로그인한 경우 다음을 수행합니다. 

    [example_user@server ~]$ kinit
Password for example_user@EXAMPLE.COM:
[example_user@server ~]$
    Copy to Clipboard Toggle word wrap

    로컬 사용자의 사용자 이름이 IdM의 사용자 항목과 일치하지 않으면 인증 시도가 실패합니다. 

    [example_user@server ~]$ kinit
kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials
    Copy to Clipboard Toggle word wrap

  • 로컬 사용자 이름에 해당하지 않는 Kerberos 주체를 사용하려면 필요한 사용자 이름을 kinit 유틸리티에 전달합니다. 예를 들어 admin 사용자로 로그인하려면 다음을 수행합니다. 

    [example_user@server ~]$ kinit admin
Password for admin@EXAMPLE.COM:
[example_user@server ~]$
    Copy to Clipboard Toggle word wrap
참고

kinit -kt KDB를 사용하여 사용자 티켓을 요청하는 것은 비활성화되어 있습니다. 자세한 내용은 CVE-2024-3183 솔루션 이후에 kinit -kt KDB: user@EXAMPLE.COM 가 더 이상 작동하지 않는 이유를 참조하십시오.

검증

  • 로그인에 성공했는지 확인하려면 klist 유틸리티를 사용하여 캐시된 TGT를 표시합니다. 다음 예에서 캐시에는 example_user 주체에 대한 티켓이 포함되어 있습니다. 즉, 이 특정 호스트에서만 example_user 만 IdM 서비스에 액세스할 수 있습니다. 

    $ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: example_user@EXAMPLE.COM

Valid starting     	Expires            	Service principal
11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

6.3. Kerberos 인증을 위한 브라우저 구성
링크 복사

Kerberos 티켓을 사용한 인증을 활성화하려면 브라우저 구성을 변경해야 할 수 있습니다.

다음 단계는 IdM 도메인에 액세스하기 위해 Kerberos 협상을 지원하는 데 도움이 됩니다.

각 브라우저는 Kerberos를 다른 방식으로 지원하며 다른 구성이 필요합니다. IdM 웹 UI에는 다음 브라우저에 대한 지침이 포함되어 있습니다.

  • Firefox
  • Chrome

프로세스

  1. 웹 브라우저에서 IdM 웹 UI 로그인 대화 상자를 엽니다.

  2. 웹 UI 로그인 화면에서 브라우저 구성에 대한 링크를 클릭합니다.

    A screenshot of the IdM Web UI log in page with empty entry fields for the Username and Password and a blue "Log in" button below those fields. Text to the right of the "Log in" button explains "to log in with Kerberos please make sure you have valid tickets (obtainable via kinit) and configured the browser correctly then click Log in." The URL for the word "configured" has been highlighted.

  3. 구성 페이지의 단계를 따릅니다.

    A screenshot of a web browser with instructions for "Browser Kerberos Setup."

설정 후 IdM 웹 UI로 돌아가서 로그인을 클릭합니다.

6.4. Kerberos 티켓을 사용하여 웹 UI에 로그인
링크 복사

TGT(Kerberos ticket-granting ticket)를 사용하여 IdM 웹 UI에 로그인하려면 다음 절차를 따르십시오.

TGT는 사전 정의된 시간에 만료됩니다. 기본 시간 간격은 24시간이며 IdM 웹 UI에서 변경할 수 있습니다.

시간 간격이 만료된 후 티켓을 갱신해야 합니다.

  • kinit 명령 사용.
  • 웹 UI 로그인 대화 상자에서 IdM 로그인 인증 정보를 사용합니다.

프로세스

  • IdM 웹 UI를 엽니다.

    Kerberos 인증이 올바르게 작동하고 유효한 티켓이 있는 경우 자동으로 인증되고 웹 UI가 열립니다.

    티켓이 만료된 경우 먼저 인증 정보를 사용하여 직접 인증해야 합니다. 그러나 다음에 로그인 대화 상자를 열지 않고도 IdM 웹 UI가 자동으로 열립니다.

    Kerberos로 인증 실패 오류 메시지가 표시되면 브라우저가 Kerberos 인증을 위해 구성되었는지 확인합니다. Kerberos 인증을 위한 브라우저 구성을 참조하십시오.

    IdM 웹 UI 로그인 스크린샷에 빈 사용자 이름 및 암호 필드 위에 오류가 표시됩니다.
    View larger image
    IdM 웹 UI 로그인 스크린샷에 빈 사용자 이름 및 암호 필드 위에 오류가 표시됩니다.

6.5. Kerberos 인증을 위한 외부 시스템 구성
링크 복사

IdM(Identity Management) 사용자가 Kerberos 자격 증명을 사용하여 외부 시스템에서 IdM에 로그인할 수 있도록 외부 시스템을 구성하려면 다음 절차를 따르십시오.

외부 시스템에서 Kerberos 인증을 활성화하는 것은 인프라에 여러 영역 또는 겹치는 도메인이 포함된 경우 특히 유용합니다. ipa-client-install 을 통해 시스템이 IdM 도메인에 등록되지 않은 경우에도 유용합니다.

IdM 도메인의 멤버가 아닌 시스템에서 Kerberos 인증을 활성화하려면 외부 시스템에 IdM별 Kerberos 구성 파일을 정의합니다.

사전 요구 사항

  • krb5-workstation 패키지는 외부 시스템에 설치됩니다.

    패키지가 설치되었는지 확인하려면 다음 CLI 명령을 사용합니다. 

    # dnf list installed krb5-workstation
Installed Packages
krb5-workstation.x86_64    1.16.1-19.el8     @BaseOS
    Copy to Clipboard Toggle word wrap

프로세스

  1. IdM 서버의 /etc/krb5.conf 파일을 외부 시스템으로 복사합니다. 예를 들면 다음과 같습니다. 

    # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf
    Copy to Clipboard Toggle word wrap
    주의

    외부 시스템의 기존 krb5.conf 파일을 덮어쓰지 마십시오.

  2. 외부 시스템에서 복사된 IdM Kerberos 구성 파일을 사용하도록 터미널 세션을 설정합니다. 

    $ export KRB5_CONFIG=/etc/krb5_ipa.conf
    Copy to Clipboard Toggle word wrap

    KRB5_CONFIG 변수는 로그아웃할 때까지 일시적으로만 존재합니다. 이 손실을 방지하려면 다른 파일 이름으로 변수를 내보냅니다.

  3. Kerberos 구성 스니펫을 /etc/krb5.conf.d/ 디렉토리에서 외부 시스템으로 복사합니다.
  4. Kerberos 인증을 위한 브라우저 구성에 설명된 대로 외부 시스템에서 브라우저를 구성합니다.

이제 외부 시스템의 사용자가 kinit 유틸리티를 사용하여 IdM 서버에 대해 인증할 수 있습니다.

6.6. Active Directory 사용자에 대한 웹 UI 로그인 활성화
링크 복사

Active Directory 사용자에 대한 웹 UI 로그인을 활성화하려면 기본 신뢰 보기에서 각 Active Directory 사용자에 대한 ID 재정의를 정의합니다.

프로세스

  • ad_user@ad.example.com 에 대한 ID 덮어쓰기를 정의하려면 다음을 수행합니다. 

    [admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com
    Copy to Clipboard Toggle word wrap

7장. 한 번 암호를 사용하여 Identity Management 웹 UI에 로그인
링크 복사

IdM 웹 UI에 대한 액세스는 여러 방법을 사용하여 보호할 수 있습니다. 기본 인증은 암호 인증입니다.

암호 인증의 보안을 강화하려면 두 번째 단계를 추가하고 자동으로 생성된 일회성 암호(OTP)가 필요합니다. 가장 일반적인 사용은 사용자 계정과 연결된 암호와 하드웨어 또는 소프트웨어 토큰에 의해 생성된 시간 제한적인 암호를 결합하는 것입니다.

다음 섹션에서는 다음을 수행하는 데 도움이 됩니다.

  • IdM에서 OTP 인증이 작동하는 방식을 이해합니다.
  • IdM 서버에서 OTP 인증을 구성합니다.
  • IdM에서 OTP 검증을 위해 RADIUS 서버를 구성합니다.
  • OTP 토큰을 만들고 휴대폰에서 FreeOTP 앱과 동기화합니다.
  • 사용자 암호와 한 번 암호를 조합하여 IdM 웹 UI에 인증합니다.
  • 웹 UI에서 토큰을 다시 동기화합니다.
  • OTP 또는 RADIUS 사용자로 IdM 티켓 검색
  • 모든 LDAP 클라이언트에 OTP 사용 적용

사전 요구 사항

7.1. Identity Management에서 OTP(한 번 암호) 인증
링크 복사

일회성 암호는 인증 보안을 위한 추가 단계를 가져옵니다. 인증에서는 암호를 사용하고 자동으로 생성된 한 번 암호를 사용합니다.

한 번의 암호를 생성하려면 하드웨어 또는 소프트웨어 토큰을 사용할 수 있습니다. IdM은 소프트웨어 및 하드웨어 토큰을 모두 지원합니다.

Identity Management는 다음과 같은 표준 OTP 메커니즘을 지원합니다.

  • HMAC 기반 일회성 암호(HOTP) 알고리즘은 카운터를 기반으로 합니다. HMAC는 Hashed Message Authentication Code를 나타냅니다.
  • TOTP(Time-Based One-Time Password) 알고리즘은 시간 기반 이동 요소를 지원하는 HOTP 확장입니다.
중요

IdM은 Active Directory 신뢰 사용자에 대한 OTP 로그인을 지원하지 않습니다.

7.2. 웹 UI에서 일회성 암호 활성화
링크 복사

IdM(Identity Management) 관리자는 IdM 사용자에 대해 전역 또는 개별적으로 2단계 인증 (2FA)을 활성화할 수 있습니다. 사용자는 명령줄의 일반 암호 또는 웹 UI 로그인 대화 상자의 전용 필드에 이러한 암호 사이에 공백이 없는 일회성 암호(OTP)를 입력합니다.

2FA를 활성화하는 것은 강제하는 것과 동일하지 않습니다. LDAP-binds 기반 로그인을 사용하는 경우 IdM 사용자는 암호만 입력하여 계속 인증할 수 있습니다. 그러나 krb5기반 로그인을 사용하는 경우 2FA가 적용됩니다.

모든 LDAP 클라이언트에 대해 OTP 사용을 적용하여 LDAP 바인딩에 2FA를 적용하는 옵션이 있습니다. 자세한 내용은 모든 LDAP 클라이언트의 OTP 사용 강제를 참조하십시오.

IdM 웹 UI를 사용하여 개별 example.user IdM 사용자에 대해 2FA를 활성화하려면 다음 절차를 완료합니다.

사전 요구 사항

  • 관리자 권한

프로세스

  1. IdM 관리자 권한으로 IdM 웹 UI에 로그인합니다.

  2. ID → 사용자 → 활성 사용자 탭을 엽니다.

    A screenshot of the IdM Web UI displaying the "Active Users" page which is a sub-page of the Users submenu from the Identity tab.

  3. example.user 를 선택하여 사용자 설정을 엽니다.
  4. 사용자 인증 유형에서 두 가지 요소 인증(암호 + OTP) 을 선택합니다.
  5. 저장을 클릭합니다.

이 시점에서 IdM 사용자에 대해 OTP 인증이 활성화됩니다.

이제 사용자 또는 example.userexample.user 계정에 새 토큰 ID를 할당해야 합니다.

7.3. IdM에서 OTP 검증을 위한 RADIUS 서버 구성
링크 복사

전용 일회성 암호(OTP) 솔루션에서 IdM(Identity Management) 네이티브 OTP 솔루션으로 대규모 배포를 활성화하기 위해 IdM은 OTP 검증을 사용자 하위 집합을 타사 RADIUS 서버로 오프로드하는 방법을 제공합니다. 관리자는 각 프록시가 단일 RADIUS 서버만 참조할 수 있는 RADIUS 프록시 세트를 생성합니다. 둘 이상의 서버를 처리해야 하는 경우 여러 RADIUS 서버를 가리키는 가상 IP 솔루션을 생성하는 것이 좋습니다.

이러한 솔루션은 keepalived 데몬을 사용하여 RHEL IdM 외부에서 빌드해야 합니다. 예를 들면 다음과 같습니다. 그런 다음 관리자는 이러한 프록시 세트 중 하나를 사용자에게 할당합니다. 사용자에게 RADIUS 프록시 세트가 할당된 한 IdM은 다른 모든 인증 메커니즘을 무시합니다.

참고

IdM은 타사 시스템의 토큰에 대한 토큰 관리 또는 동기화 지원을 제공하지 않습니다.

OTP 검증을 위해 RADIUS 서버를 구성하고 프록시 서버에 사용자를 추가하려면 절차를 완료합니다.

사전 요구 사항

프로세스

  1. RADIUS 프록시를 추가합니다. 

    $ ipa radiusproxy-add proxy_name --secret secret
    Copy to Clipboard Toggle word wrap

    명령에서 필요한 정보를 입력하라는 메시지를 표시합니다.

    RADIUS 프록시를 구성하려면 클라이언트와 서버 간의 공통 보안을 사용하여 인증 정보를 래핑해야 합니다. 이 시크릿을 --secret 매개변수에 지정합니다.

  2. 추가된 프록시에 사용자를 할당합니다. 

    ipa user-mod radiususer --radius=proxy_name
    Copy to Clipboard Toggle word wrap

  3. 필요한 경우 RADIUS로 보낼 사용자 이름을 구성합니다. 

    ipa user-mod radiususer --radius-username=radius_user
    Copy to Clipboard Toggle word wrap

결과적으로 RADIUS 프록시 서버는 사용자 OTP 인증을 처리하기 시작합니다.

사용자를 IdM 네이티브 OTP 시스템으로 마이그레이션할 준비가 되면 사용자의 RADIUS 프록시 할당을 간단히 제거할 수 있습니다.

느린 네트워크에서 RADIUS 프록시를 실행하는 것과 같은 특정 상황에서 IdM(Identity Management) Kerberos Distribution Center(KDC)는 사용자가 토큰을 입력하도록 기다리는 동안 연결이 시간 초과되어 RADIUS 서버 이전에 연결을 종료합니다.

KDC의 시간 초과 설정을 변경하려면 다음을 수행합니다.

  1. /var/kerberos/krb5kdc/kdc.conf 파일의 [otp] 섹션에서 timeout 매개변수 값을 변경합니다. 예를 들어 시간 제한을 120 초로 설정하려면 다음을 수행합니다. 

    [otp]
DEFAULT = {
  timeout = 120
  ...
}
    Copy to Clipboard Toggle word wrap

  2. krb5kdc 서비스를 다시 시작합니다. 

    # systemctl restart krb5kdc
    Copy to Clipboard Toggle word wrap

7.4. 웹 UI에 OTP 토큰 추가
링크 복사

다음 섹션에서는 IdM 웹 UI 및 소프트웨어 토큰 생성기에 토큰을 추가하는 데 도움이 됩니다.

사전 요구 사항

  • IdM 서버의 활성 사용자 계정입니다.
  • 관리자는 IdM 웹 UI에서 특정 사용자 계정에 대해 OTP를 활성화했습니다.
  • OTP 토큰을 생성하는 소프트웨어 장치(예: FreeOTP)입니다.

프로세스

  1. 사용자 이름 및 암호를 사용하여 IdM 웹 UI에 로그인합니다.
  2. 휴대폰에서 토큰을 생성하려면 인증 → OTP 토큰 탭을 엽니다.

  3. 추가를 클릭합니다.

    Screenshot of the IdM Web UI highlighting the Add button near the upper-right of the OTP Tokens page which is a sub-page of the Authentication section

  4. OTP 토큰 추가 대화 상자에서 입력되지 않은 모든 항목을 그대로 두고 추가 를 클릭합니다.

    이 단계에서 IdM 서버는 서버에 기본 매개 변수를 사용하여 토큰을 생성하고 QR 코드로 페이지를 엽니다.

  5. QR 코드를 휴대폰에 복사하십시오.
  6. 확인 을 클릭하여 QR 코드를 닫습니다.

이제 암호를 한 번 생성하고 IdM 웹 UI에 함께 로그인할 수 있습니다.

Screenshot of the FreeOTP application from a mobile telephone displaying two entries for OTP tokens. The first OTP token is for the example.user@IDM.EXAMPLE.COM domain and its entry displays a 6-digit OTP while its timer is running out.

7.5. 한 번의 암호를 사용하여 웹 UI에 로그인
링크 복사

다음 절차에 따라 한 번의 암호(OTP)를 사용하여 IdM 웹 UI에 처음 로그인합니다.

사전 요구 사항

  • OTP 인증에 사용하는 사용자 계정에 대해 ID 관리 서버에서 OTP 구성이 활성화됩니다. 관리자 및 사용자도 OTP를 활성화할 수 있습니다.

    OTP 구성을 활성화하려면 웹 UI에서 한 번 암호 활성화를 참조하십시오.

  • OTP 토큰을 생성하는 하드웨어 또는 소프트웨어 장치가 구성되어 있습니다.

프로세스

  1. Identity Management 로그인 화면에서 사용자 이름 또는 IdM 서버 관리자 계정의 사용자 이름을 입력합니다.
  2. 위에 입력한 사용자 이름의 암호를 추가합니다.
  3. 장치에 한 번 암호를 생성합니다.
  4. 공백 없이 암호 바로 뒤에 한 번 암호를 입력합니다.

  5. Log in 을 클릭합니다.

    인증에 실패하면 OTP 토큰을 동기화합니다.

    CA에서 자체 서명된 인증서를 사용하는 경우 브라우저에서 경고를 발행합니다. 인증서를 확인하고 보안 예외를 수락하여 로그인을 진행합니다.

    IdM 웹 UI가 열려 있지 않은 경우 ID 관리 서버의 DNS 구성을 확인합니다.

로그인에 성공하면 IdM 웹 UI가 열립니다.

7.6. 웹 UI를 사용하여 OTP 토큰 동기화
링크 복사

OTP(One Time Password)로 로그인하지 못하면 OTP 토큰이 올바르게 동기화되지 않습니다.

다음 텍스트는 토큰 재동기화에 대해 설명합니다.

사전 요구 사항

  • OTP 토큰을 생성하는 장치입니다.

프로세스

  1. IdM 웹 UI 로그인 화면에서 동기화 OTP 토큰 을 클릭합니다.

    A screenshot of the IdM Web UI log in page. The "Username" and "Password" fields are empty. A link to "Sync OTP Token" at the bottom right next to the "Log In" button is highlighted.

  2. 로그인 화면에서 사용자 이름과 Identity Management 암호를 입력합니다.
  3. 암호를 한 번 생성하고 First OTP 필드에 입력합니다.
  4. 다른 한 번의 암호를 생성하고 Second OTP 필드에 입력합니다.

  5. 선택 사항: 토큰 ID를 입력합니다.

    A screenshot of the screen to change the OTP token. The "Username" field has been filled in with "admin". The password in the "Password" field has been obfuscated with solid circles. The "First OTP" and "Second OTP" fields also have their 6-character entries obfuscated. The last field is labeled "Token ID" and has 16 hexadecimal characters such as "18c5d06cfcbd4927". There are "Cancel" and "Sync OTP Token" buttons at the bottom right.

  6. OTP 토큰 동기화 를 클릭합니다.

동기화에 성공하면 IdM 서버에 로그인할 수 있습니다.

7.7. 만료된 암호 변경
링크 복사

Identity Management 관리자는 다음 로그인 시 암호 변경을 시행할 수 있습니다. 이 경우 암호를 변경할 때까지 IdM 웹 UI에 성공적으로 로그인할 수 없습니다.

웹 UI에 처음 로그인하는 동안 암호 만료가 발생할 수 있습니다.

만료 암호 대화 상자가 표시되면 절차의 지침을 따르십시오.

사전 요구 사항

  • IdM 서버의 활성 계정입니다.

프로세스

  1. 암호 만료 로그인 화면에서 사용자 이름을 입력합니다.
  2. 위에 입력한 사용자 이름의 암호를 추가합니다.
  3. OTP 필드에서 암호 인증을 한 번 사용하는 경우 한 번의 암호를 생성합니다.
  4. 확인을 위해 새 암호를 두 번 입력합니다.

  5. 암호 재설정 을 클릭합니다.

    A screenshot of the IdM Web UI with a banner across the top that states "Your password has expired. Please enter a new password." The "Username" field displays "example.user" and cannot be edited. The following fields have been filled in but their contents have been replaced with dots to obfuscate the passwords: "Current Password" - "OTP" - "New Password" - "Verify Password."

암호가 성공적으로 변경되면 일반적인 로그인 대화 상자가 표시됩니다. 새 암호로 로그인합니다.

7.8. OTP 또는 RADIUS 사용자로 IdM 티켓을 검색
링크 복사

OTP 사용자로 Kerberos 티켓(TGT)을 검색하려면 익명 Kerberos 티켓을 요청하고FAST(Secure tunneling) 채널을 통해 유연한 인증을 활성화하여 Kerberos 클라이언트와 KDC(Kerberos Distribution Center) 간에 안전한 연결을 제공합니다.

사전 요구 사항

  • 필요한 사용자 계정에 대해 OTP를 활성화했습니다.

프로세스

  1. 다음 명령을 실행하여 인증 정보 캐시를 초기화합니다. 

    [root@client ~]# kinit -n @IDM.EXAMPLE.COM -c FILE:armor.ccache
    Copy to Clipboard Toggle word wrap

    이 명령은 새 Kerberos 티켓을 요청할 때마다 가리켜야 하는 armor.ccache 파일을 생성합니다.

  2. 명령을 실행하여 Kerberos 티켓을 요청합니다. 

    [root@client ~]# kinit -T FILE:armor.ccache <username>@IDM.EXAMPLE.COM
Enter your OTP Token Value.
    Copy to Clipboard Toggle word wrap

검증

  • Kerberos 티켓 정보를 표시합니다. 

    [root@client ~]# klist -C
Ticket cache: KCM:0:58420
Default principal: <username>@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
05/09/22 07:48:23  05/10/22 07:03:07  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes
08/17/2022 20:22:45  08/18/2022 20:22:43  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 141
    Copy to Clipboard Toggle word wrap

    pa_type = 141 은 OTP/RADIUS 인증을 나타냅니다.

7.9. 모든 LDAP 클라이언트에 대해 OTP 사용 적용
링크 복사

RHEL IdM에서 OTP(two-factor) 인증이 구성된 사용자 계정의 LDAP 서버 인증에 대한 기본 동작을 설정할 수 있습니다. OTP가 적용되면 LDAP 클라이언트는 OTP 토큰을 연결된 사용자에 대해 단일 요소 인증(암호)을 사용하여 LDAP 서버에 대해 인증할 수 없습니다. RHEL IdM은 데이터 없이 OID 2.16.840.1.113730.3.8.10.7에서 특수 LDAP 제어를 사용하여 Kerberos 백엔드를 통해 이 방법을 이미 적용합니다.

프로세스

  • 모든 LDAP 클라이언트에 OTP 사용을 적용하려면 다음 명령을 사용합니다. 

    $ ipa config-mod --addattr ipaconfigstring=EnforceLDAPOTP
    Copy to Clipboard Toggle word wrap

  • 모든 LDAP 클라이언트의 이전 OTP 동작으로 다시 변경하려면 다음 명령을 사용합니다. 

    $ ipa config-mod --delattr ipaconfigstring=EnforceLDAPOTP
    Copy to Clipboard Toggle word wrap

8장. Identity Management 보안 설정
링크 복사

Identity Management의 보안 관련 기능에 대해 자세히 알아보십시오.

8.1. Identity Management가 기본 보안 설정을 적용하는 방법
링크 복사

기본적으로 IdM(Identity Management)은 시스템 전체 암호화 정책을 사용합니다. 이 정책의 이점은 개별 IdM 구성 요소를 수동으로 강화할 필요가 없다는 것입니다.

중요

시스템 전체 암호화 정책을 사용하는 것이 좋습니다. 개별 보안 설정을 변경하면 IdM의 구성 요소가 손상될 수 있습니다.

자세한 내용은 시스템의 crypto-policies(7) 도움말 페이지를 참조하십시오.

8.2. Identity Management의 익명 LDAP 바인딩
링크 복사

기본적으로 anonymous은 IdM(Identity Management) LDAP 서버에 바인딩됩니다. 익명 바인딩은 특정 구성 설정 또는 디렉터리 값을 노출할 수 있습니다. 그러나 realmd 또는 이전 RHEL 클라이언트와 같은 일부 유틸리티에서는 클라이언트를 등록할 때 도메인 설정을 검색할 수 있는 익명의 바인딩이 필요합니다.

8.3. 익명 바인딩 비활성화
링크 복사

LDAP 툴을 사용하여 nsslapd-allow-anonymous-access 속성을 재설정하여 IdM(Identity Management) 389 Directory Server 인스턴스에 익명 바인딩을 비활성화할 수 있습니다.

다음은 nsslapd-allow-anonymous-access 속성의 유효한 값입니다.

  • on: 모든 익명 바인딩 허용 (기본값)
  • RootD SE : 루트 DSE 정보에 대해서만 익명 바인딩 허용
  • off: 익명 바인딩 허용

Red Hat은 속성을 off 로 설정하여 익명 바인딩을 완전히 허용하지 않는 것이 좋습니다. 이로 인해 외부 클라이언트가 서버 구성을 확인하지 못하도록 차단하기 때문입니다. LDAP 및 웹 클라이언트는 반드시 도메인 클라이언트일 필요는 없으므로 연결 정보를 얻기 위해 루트 DSE 파일을 읽기 위해 익명으로 연결합니다.

nsslapd-allow-anonymous-access 속성의 값을 rootdse 로 변경하면 디렉터리 데이터에 대한 액세스 권한 없이 루트 DSE 및 서버 구성에 액세스할 수 있습니다.

주의

특정 클라이언트는 익명 바인딩을 사용하여 IdM 설정을 검색합니다. 또한 인증을 사용하지 않는 기존 클라이언트의 경우 호환성 트리가 손상될 수 있습니다. 클라이언트에 익명 바인딩이 필요하지 않은 경우에만 이 절차를 수행합니다.

사전 요구 사항

  • LDAP 서버에 쓸 디렉터리 관리자로 인증할 수 있습니다.
  • root 사용자로 인증하여 IdM 서비스를 다시 시작할 수 있습니다.

프로세스

  1. nsslapd-allow-anonymous-access 속성을 rootdse 로 변경합니다. 

    $ ldapmodify -x -D "cn=Directory Manager" -W -h server.example.com -p 389
Enter LDAP Password:
dn: cn=config
changetype: modify
replace: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: rootdse

modifying entry "cn=config"
    Copy to Clipboard Toggle word wrap

  2. 389 Directory Server 인스턴스를 다시 시작하여 새 설정을 로드합니다. 

    # systemctl restart dirsrv.target
    Copy to Clipboard Toggle word wrap

검증

  • nsslapd-allow-anonymous-access 속성 값을 표시합니다. 

    $ ldapsearch -x -D "cn=Directory Manager" -b cn=config -W -h server.example.com  -p 389 nsslapd-allow-anonymous-access | grep nsslapd-allow-anonymous-access
Enter LDAP Password:
# requesting: nsslapd-allow-anonymous-access
nsslapd-allow-anonymous-access: rootdse
    Copy to Clipboard Toggle word wrap

9장. IdM 로그 파일 및 디렉터리
링크 복사

다음 섹션을 사용하여 IdM(Identity Management)의 개별 구성 요소를 모니터링, 분석 및 해결합니다.

또한 IdM 서버 및 클라이언트의 모니터링, 분석 및 문제 해결과 IdM 서버에서 감사 로깅을 활성화할 수 있습니다.

9.1. IdM 서버 및 클라이언트 로그 파일 및 디렉터리
링크 복사

다음 표는 IdM(Identity Management) 서버 및 클라이언트가 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다. 파일 및 디렉터리를 사용하여 설치 오류 문제를 해결할 수 있습니다.

Expand
디렉터리 또는 파일설명

/var/log/ipaserver-install.log

IdM 서버의 설치 로그입니다.

/var/log/ipareplica-install.log

IdM 복제본의 설치 로그입니다.

/var/log/ipaclient-install.log

IdM 클라이언트의 설치 로그입니다.

/var/log/sssd/

SSSD의 로그 파일입니다. sssd.conf 파일 또는 sssctl 명령을 사용하여 SSSD에 대한 자세한 로깅을 활성화할 수 있습니다.

~/.ipa/log/cli.log

원격 프로시저 호출(RPC)에서 반환한 오류 및 ipa 유틸리티의 응답에 대한 로그 파일입니다. 툴을 실행하는 유효한 사용자를 위해 홈 디렉터리에 생성됩니다. 이 사용자는 실패한 ipa 명령을 수행하기 전에 TGT(TGT) 티켓을 부여하는 IdM 사용자인 IdM 사용자 이름과 다른 사용자 이름이 있을 수 있습니다. 예를 들어 root 로 시스템에 로그인하고 IdM 관리자 의 TGT를 가져온 경우 오류가 /root/.ipa/log/cli.log 파일에 로그인됩니다.

/etc/logrotate.d/

DNS, SSSD, Apache, Tomcat 및 Kerberos에 대한 로그 순환 정책입니다.

/etc/pki/pki-tomcat/logging.properties

이 링크는 /usr/share/pki/server/conf/logging.properties 에서 기본 인증 기관 로깅 구성을 가리킵니다.

9.2. 디렉터리 서버 로그 파일
링크 복사

다음 표에서는 IdM(Identity Management) 디렉터리 서버(DS) 인스턴스에서 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다. 파일 및 디렉터리를 사용하여 DS 관련 문제를 해결할 수 있습니다.

Expand
표 9.1. 디렉터리 서버 로그 파일
디렉토리 또는 파일설명

/var/log/dirsrv/slapd-REALM_NAME/

IdM 서버에서 사용하는 DS 인스턴스와 연결된 로그 파일입니다. 여기에 기록된 대부분의 운영 데이터는 서버-복제 상호 작용과 관련이 있습니다.

/var/log/dirsrv/slapd-REALM_NAME/audit

DS 구성에서 감사를 활성화할 때 모든 DS 작업에 대한 감사 추적을 포함합니다.

참고

IdM API 로그가 액세스되는 Apache 오류 로그를 감사할 수도 있습니다. 그러나 LDAP를 통해 직접 변경할 수 있으므로 감사 목적으로 보다 포괄적인 /var/log/dirsrv/slapd-REALM_NAME/audit 로그를 활성화하는 것이 좋습니다.

/var/log/dirsrv/slapd-REALM_NAME/access

도메인 DS 인스턴스에 대한 시도된 액세스에 대한 자세한 정보가 포함되어 있습니다.

/var/log/dirsrv/slapd-REALM_NAME/errors

도메인 DS 인스턴스의 실패한 작업에 대한 자세한 정보를 포함합니다.

9.3. IdM 서버에서 감사 로깅 활성화
링크 복사

감사 목적으로 IdM(Identity Management) 서버에서 로깅을 활성화하려면 다음 절차를 따르십시오. 자세한 로그를 사용하여 데이터를 모니터링하고 문제를 해결하며 네트워크에서 의심스러운 활동을 검사할 수 있습니다.

참고

LDAP 변경 사항이 많은 경우 특히 값이 큰 경우 LDAP 서비스가 느려질 수 있습니다.

사전 요구 사항

  • Directory Manager 암호

프로세스

  1. LDAP 서버에 바인딩합니다. 

    $ ldapmodify -D "cn=Directory Manager" -W << EOF
    Copy to Clipboard Toggle word wrap

  2. 수행할 모든 수정 사항을 지정합니다. 예를 들면 다음과 같습니다. 

    dn: cn=config
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
-
replace:nsslapd-auditlog
nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit
-
replace:nsslapd-auditlog-mode
nsslapd-auditlog-mode: 600
-
replace:nsslapd-auditlog-maxlogsize
nsslapd-auditlog-maxlogsize: 100
-
replace:nsslapd-auditlog-logrotationtime
nsslapd-auditlog-logrotationtime: 1
-
replace:nsslapd-auditlog-logrotationtimeunit
nsslapd-auditlog-logrotationtimeunit: day
    Copy to Clipboard Toggle word wrap
  3. 새 줄에 EOF 를 입력하여 ldapmodify 명령의 끝을 표시합니다.
  4. [Enter]를 두 번 누릅니다.
  5. 감사 로깅을 활성화하려는 다른 모든 IdM 서버에서 이전 단계를 반복합니다.

검증

  • /var/log/dirsrv/slapd-REALM_NAME/audit 파일을 엽니다. 

    389-Directory/1.4.3.231 B2021.322.1803
server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM)

time: 20220607102705
dn: cn=config
result: 0
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
[...]
    Copy to Clipboard Toggle word wrap

    파일이 비어 있지 않다는 사실은 더 이상 감사가 활성화되어 있는지 확인합니다.

    시스템은 변경되는 항목의 바인딩된 LDAP 고유 이름(DN)을 기록합니다. 따라서 로그를 post-process해야 할 수 있습니다. 예를 들어 IdM 디렉터리 서버에서 레코드를 수정한 AD 사용자의 ID를 나타내는 ID 덮어쓰기 DN입니다. 

$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com
Copy to Clipboard Toggle word wrap

사용자 SID가 있는 경우 pyss_nss_idmap.getnamebysid Python 명령을 사용하여 AD 사용자를 조회합니다. 

>>> import pysss_nss_idmap
>>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500'))
{'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}
Copy to Clipboard Toggle word wrap

9.4. IdM 서버에서 오류 로깅 수정
링크 복사

다음 절차에 따라 특정 유형의 오류에 대한 디버깅 정보를 가져옵니다. 이 예제에서는 오류 로그 수준을 8192로 설정하여 복제에 대한 자세한 오류 로그를 가져오는 데 중점을 둡니다. 다른 유형의 정보를 기록하려면 Red Hat Directory Server 설명서의 오류 로그 로깅 수준의 표에서 다른 번호를 선택합니다.

참고

특히 값이 큰 경우 많은 유형의 LDAP 오류가 기록되면 LDAP 서비스가 느려질 수 있습니다.

사전 요구 사항

  • Directory Manager 암호입니다.

프로세스

  1. LDAP 서버에 바인딩합니다. 

    $ ldapmodify -x -D "cn=directory manager" -w <password>
    Copy to Clipboard Toggle word wrap

  2. 수행할 수정 사항을 지정합니다. 예를 들어 복제와 관련된 로그만 수집하려면 다음을 수행합니다. 

    dn: cn=config
changetype: modify
add: nsslapd-errorlog-level
nsslapd-errorlog-level: 8192
    Copy to Clipboard Toggle word wrap
  3. [Enter]를 두 번 눌러 ldapmodify 명령의 끝을 나타냅니다. 그러면 수정 항목 "cn=config" 메시지가 표시됩니다.
  4. [#159+C]를 눌러 ldapmodify 명령을 종료합니다.
  5. 복제 오류에 대한 자세한 로그를 수집하려는 다른 모든 IdM 서버에서 이전 단계를 반복합니다.
중요

문제 해결을 완료한 후 nsslapd-errorlog-level 을 0으로 설정하여 성능 문제를 방지합니다.

9.5. IdM Apache 서버 로그 파일
링크 복사

다음 표는 IdM(Identity Management) Apache Server에서 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다.

Expand
표 9.2. Apache Server 로그 파일
디렉터리 또는 파일설명

/var/log/httpd/

Apache 웹 서버의 로그 파일입니다.

/var/log/httpd/access_log

 Apache 서버의 표준 액세스 및 오류 로그입니다. IdM 웹 UI 및 RPC 명령줄 인터페이스에서 Apache 메시지를 사용하여 IdM과 관련된 메시지는 Apache 메시지와 함께 기록됩니다. 액세스 로그는 대부분 사용자 주체와 사용된 URI만 기록합니다. 이 URI는 종종 RPC 끝점입니다. 오류 로그에는 IdM 서버 로그가 포함됩니다.

/var/log/httpd/error_log

9.6. IdM의 인증서 시스템 로그 파일
링크 복사

다음 표는 IdM(Identity Management) 인증서 시스템이 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다.

Expand
표 9.3. 인증서 시스템 로그 파일
디렉터리 또는 파일설명

/var/log/pki/pki-ca-spawn.time_of_installation.log

IdM CA(인증 기관)의 설치 로그입니다.

/var/log/pki/pki-kra-spawn.time_of_installation.log

IdM 키 복구 기관(KRA)의 설치 로그입니다.

/var/log/pki/pki-tomcat/

PKI 작업 로그의 최상위 디렉터리입니다. CA 및 KRA 로그를 포함합니다.

/var/log/pki/pki-tomcat/ca/

인증서 작업과 관련된 로그가 있는 디렉터리입니다. IdM에서 이러한 로그는 인증서를 사용하는 서비스 주체, 호스트 및 기타 엔티티에 사용됩니다.

/var/log/pki/pki-tomcat/kra

KRA와 관련된 로그가 있는 디렉터리입니다.

/var/log/messages

다른 시스템 메시지 사이에 인증서 오류 메시지가 포함됩니다.

9.7. IdM의 Kerberos 로그 파일
링크 복사

다음 표는 Kerberos가 IdM(Identity Management)에 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다.

Expand
표 9.4. Kerberos 로그 파일
디렉터리 또는 파일설명

/var/log/krb5kdc.log

Kerberos KDC 서버의 기본 로그 파일입니다.

/var/log/kadmind.log

Kerberos 관리 서버의 기본 로그 파일입니다.

이러한 파일의 위치는 krb5.conf 파일에 구성됩니다. 일부 시스템에서는 다를 수 있습니다.

9.8. IdM의 DNS 로그 파일
링크 복사

다음 표에서는 DNS가 IdM(Identity Management)에 정보를 기록하는 데 사용하는 디렉터리와 파일을 제공합니다.

Expand
표 9.5. DNS 로그 파일
디렉터리 또는 파일설명

/var/log/messages

DNS 오류 메시지 및 기타 시스템 메시지가 포함됩니다. 이 파일의 DNS 로깅은 기본적으로 활성화되어 있지 않습니다. 이를 활성화하려면 # /usr/sbin/rndc querylog 명령을 입력합니다. 로깅을 비활성화하려면 명령을 다시 실행합니다.

9.9. IdM의 custodia 로그 파일
링크 복사

다음 표에서는 Custodia가 IdM(Identity Management)의 정보를 로깅하는 데 사용하는 디렉터리와 파일을 제공합니다.

Expand
표 9.6. custodia 로그 파일
디렉터리 또는 파일설명

/var/log/custodia/

Custodia 서비스의 로그 파일 디렉터리입니다.

법적 공지
링크 복사

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat