50장. IdM에서 AD 사용자 주체 이름을 사용하여 인증 활성화

IdM(Identity Management) 관리자는 AD 사용자가 대체 UPN( User Principal Names )을 사용하여 IdM 도메인의 리소스에 액세스할 수 있도록 허용할 수 있습니다. UPN은 AD 사용자가 user_name@KERBEROS-REALM 형식의 형식으로 인증하는 대체 사용자 로그인입니다. AD 포리스트에서 추가 Kerberos 별칭과 UPN 접미사를 둘 다 구성할 수 있으므로 AD 관리자는 user_name 및 KERBEROS-REALM 모두에 대한 대체 값을 설정할 수 있습니다.

예를 들어, 회사에서 Kerberos realm AD.EXAMPLE.COM 을 사용하는 경우 사용자의 기본 UPN은 user@ad.example.com 입니다. 사용자가 이메일 주소(예: user@example.com )를 사용하여 로그인할 수 있도록 하려면 AD에서 EXAMPLE.COM 을 대체 UPN으로 구성할 수 있습니다. 다른 UPN ( Enterprise UPNs라고도 함)은 최근에 병합을 경험했으며 사용자에게 통합 로그온 네임스페이스를 제공하려는 경우 특히 편리합니다.

UPN 접미사는 AD 포리스트 루트에 정의된 경우 IdM에만 표시됩니다. AD 관리자는 Active Directory 도메인 및 신뢰 유틸리티 또는 PowerShell 명령줄 도구를 사용하여 UPN을 정의할 수 있습니다.

AD 측에 새 UPN을 정의한 후 IdM 서버에서 ipa trust-fetch-domains 명령을 실행하여 업데이트된 UPN을 검색합니다. IdM에서 AD UPN이 최신 상태인지 확인하십시오.

IdM은 도메인의 UPN 접미사를 도메인의 ipaNTAdditionalSuffixes 하위 트리 cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com 에 저장합니다.