Red Hat Summit53장. IdM에서 제한된 위임 사용
제한된 위임을 사용하면 한 서비스가 사용자를 대신하여 다른 서비스에 액세스할 수 있습니다. 모든 인증 정보에 대한 전체 액세스 권한을 부여하는 대신 하나의 서비스에 대해 제한된 권한만 부여합니다.
53.1. Identity Management에서 제한된 위임
링크 복사링크가 클립보드에 복사되었습니다!
S4U2proxy (S4U2proxy) 확장 서비스는 사용자를 대신하여 다른 서비스에 서비스 티켓을 가져오는 서비스를 제공합니다. 이 기능을 제한된 위임 이라고 합니다. 두 번째 서비스는 일반적으로 사용자의 권한 부여 컨텍스트에서 첫 번째 서비스를 대신하여 일부 작업을 수행하는 프록시입니다. 제한된 위임을 사용하면 사용자가 전체 TGT( ticket-granting ticket)를 위임할 필요가 없습니다.
IdM(Identity Management)은 일반적으로 Kerberos S4U2proxy 기능을 사용하여 웹 서버 프레임워크가 사용자를 대신하여 LDAP 서비스 티켓을 가져올 수 있도록 합니다. IdM-AD 신뢰 시스템은 제한된 위임을 사용하여 cifs 주체를 가져옵니다.
S4U2proxy 기능을 사용하여 다음을 수행하기 위해 스마트 카드로 인증된 IdM 사용자가 웹 콘솔 클라이언트를 구성할 수 있습니다.
- 다시 인증하지 않고 웹 콘솔 서비스가 실행 중인 RHEL 호스트에서 슈퍼유저 권한으로 명령을 실행합니다.
-
SSH를 사용하여 원격 호스트에 액세스하고 다시 인증하라는 요청 없이 호스트의 서비스에 액세스합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}