검색

Linux 도메인 ID, 인증 및 정책 가이드

download PDF
Red Hat Enterprise Linux 7

Linux 환경에서 Red Hat Identity Management 사용

Florian Delehaye

Red Hat Customer Content Services

Marc Muehlfeld

Red Hat Customer Content Services

Filip Hanzelka

Red Hat Customer Content Services

Lucie Maňásková

Red Hat Customer Content Services

Aneta Šteflová Petrová

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Ella Deon Ballard

Red Hat Customer Content Services

초록

사용자와 시스템 모두의 ID 및 정책 관리는 대부분의 엔터프라이즈 환경에서 핵심 기능입니다. Identity Management는 시스템이 도메인에 등록하고 SSO(Single Sign-On) 및 인증 서비스에 필요한 ID 정보에 즉시 액세스할 수 있는 ID 도메인을 생성하는 방법과 권한 부여 및 액세스를 관리하는 정책 설정을 생성하는 방법을 제공합니다.
본 가이드 외에도 다음 가이드에서 Red Hat Enterprise Linux Identity Management와 관련된 다른 기능 및 서비스에 대한 설명서를 확인할 수 있습니다.

시스템 수준 인증 가이드

System-Level Authentication Guideauthconfig 유틸리티, SSSD(System Security Services Daemon) 서비스,PAM(Plugable Authentication Module) 프레임워크, Kerberos, certmon 유틸리티, SSO(Single Sign-On) 등의 로컬 시스템에서 인증을 구성하는 데 사용할 수 있는 다양한 애플리케이션과 서비스를 문서화합니다.

Windows 통합 가이드

Windows 통합 가이드 에서는 ID 관리를 사용하여 Linux 도메인을 Microsoft Windows AD(Active Directory)와 통합하는 방법을 설명합니다. 다른 주제 중에서도 이 가이드에서는 SSSD를 사용하여 CIFS(Common Internet File System) 및 영역 시스템에 액세스할 수 있는 직접 및 간접 AD 통합의 다양한 측면을 다룹니다.


I 부. Red Hat Identity Management 개요

이 부분에서는 Red Hat Identity Management 의 목적에 대해 설명합니다. 또한 도메인에 포함된 클라이언트 및 서버 시스템을 포함하여 ID 관리 도메인에 대한 기본 정보를 제공합니다.

1장. Red Hat Identity Management 소개

1.1. Red Hat Identity Management의 목표

Red Hat IdM(Identity Management)은 Linux 기반 도메인에서 ID 저장소, 인증, 정책 및 권한 부여 정책을 관리하는 중앙 집중식 통합 방법을 제공합니다. IdM은 다양한 서비스를 개별적으로 관리하고 여러 시스템에서 다른 툴을 사용하는 관리 오버헤드를 크게 줄입니다.
IdM은 다음을 지원하는 몇 가지 중앙 집중식 ID, 정책 및 권한 부여 소프트웨어 솔루션 중 하나입니다.
  • Linux 운영 체제 환경의 고급 기능
  • 대규모 Linux 머신 그룹 통합
  • Active Directory와의 기본 통합
IdM은 Linux 기반 및 Linux 제어 도메인을 생성합니다.
  • IdM은 기존의 기본 Linux 툴과 프로토콜을 기반으로 합니다. 자체 프로세스와 구성이 있지만 기본 기술은 Linux 시스템에 잘 정립되고 Linux 관리자가 신뢰합니다.
  • IdM 서버 및 클라이언트는 Red Hat Enterprise Linux 시스템입니다. 그러나 IdM은 Windows 클라이언트를 직접 지원하지 않지만 Active Directory 환경과 통합할 수 있습니다.
    참고
    이 가이드에서는 Linux 환경에서의 IdM 사용에 대해서만 설명합니다. Active Directory와의 통합에 대한 자세한 내용은 Windows 통합 가이드 를 참조하십시오.
    Linux 시스템을 Active Directory 환경에 통합할 수 있는 Samba 제품군에 대한 자세한 내용은 Windows 통합 가이드의 Samba 사용 장을 참조하십시오. Samba를 서버로 사용하는 경우 서버를 IdM 도메인에 통합하고 IdM 또는 신뢰할 수 있는 Active Directory 도메인에 대해 Samba 서버에 연결하는 사용자를 인증하는 것은 지원되지 않습니다.

1.1.1. IdM에 의한 이점의 예

여러 Linux 서버로 ID 및 정책 관리
IdM이 없는 경우: 각 서버는 별도로 관리됩니다. 모든 암호는 로컬 시스템에 저장됩니다. IT 관리자는 모든 시스템에서 사용자를 관리하고 인증 및 권한 부여 정책을 별도로 설정하며 로컬 암호를 유지 관리합니다.
With IdM: IT 관리자는 다음을 수행할 수 있습니다:
  • 하나의 중앙 위치에서 ID 관리: IdM 서버
  • 동시에 여러 장치에 정책을 균일하게 적용
  • 호스트 기반 액세스 제어, 위임 및 기타 규칙을 사용하여 사용자에 대해 다양한 액세스 수준을 설정합니다.
  • 권한 에스컬레이션 규칙을 중앙에서 관리
  • 홈 디렉터리 마운트 방법 정의
엔터프라이즈 SSO(Single-Sign-On)
IdM이 없는 경우: 사용자는 시스템에 로그인하여 서비스 또는 애플리케이션에 액세스할 때마다 암호를 입력하라는 메시지가 표시됩니다. 이러한 암호는 다를 수 있으며 사용자는 어떤 애플리케이션에 사용할 자격 증명을 기억해야 합니다.
With IdM: 사용자가 시스템에 로그인한 후 반복적으로 자격 증명을 요청하지 않고 여러 서비스와 애플리케이션에 액세스할 수 있습니다. 이 기능은 다음과 같습니다.
  • 사용성 개선
  • 암호가 기록되거나 안전하지 않은 상태로 저장할 수 있는 보안 위험 감소
  • 사용자 생산성 향상
혼합 Linux 및 Windows 환경 관리
IdM이 없는 경우: Windows 시스템은 Active Directory 포리스트에서 관리되지만 개발, 프로덕션 및 기타 팀에는 많은 Linux 시스템이 있습니다. Linux 시스템은 Active Directory 환경에서 제외됩니다.
With IdM: IT 관리자는 다음을 수행할 수 있습니다:
  • 기본 Linux 도구를 사용하여 Linux 시스템 관리
  • Linux 시스템을 Windows 시스템과 통합하여 중앙 집중식 사용자 저장소를 보존합니다.
  • Linux 기반을 쉽게 확장할 수 있습니다.
  • Linux와 Active Directory 시스템의 별도 관리 및 Linux 및 Windows 관리자가 직접 환경을 제어할 수 있도록 지원

1.1.2. 표준 LDAP 디렉터리와 ID 관리 비교

Red Hat Directory Server와 같은 표준 LDAP 디렉토리는 범용 디렉터리입니다. 광범위한 사용 사례에 맞게 사용자 지정할 수 있습니다.
  • 스키마: 사용자, 시스템, 네트워크 엔터티, 물리적 장비 또는 구매자와 같은 다양한 항목에 맞게 사용자 지정할 수 있는 유연한 스키마입니다.
  • 일반적으로 으로 사용되는 백엔드 디렉터리: 인터넷에서 서비스를 제공하는 비즈니스 애플리케이션과 같은 다른 애플리케이션에 대한 데이터를 저장합니다.
IdM(Identity Management)에는 ID 관리와 이러한 ID와 관련된 인증 및 권한 부여 정책이라는 특정 용도가 있습니다.
  • 스키마: 사용자 또는 시스템 ID 항목과 같이 용도와 관련된 특정 항목 집합을 정의하는 특정 스키마입니다.
  • 일반적으로 엔터프라이즈 또는 프로젝트의 경계 내에서 ID를 관리하는 ID 및 인증 서버로 사용됩니다.
기본 디렉터리 서버 기술은 Red Hat Directory Server와 IdM에서 동일합니다. 그러나 IdM은 ID 관리를 위해 최적화되었습니다. 이는 일반적인 확장성을 제한하지만 단순한 구성, 리소스 관리의 향상된 자동화, ID 관리의 효율성 향상과 같은 몇 가지 이점도 제공합니다.
추가 리소스

1.2. ID 관리 도메인

IdM(Identity Management) 도메인은 동일한 구성, 정책 및 ID 저장소를 공유하는 시스템 그룹으로 구성됩니다. 공유 속성을 사용하면 도메인 내의 시스템이 서로 인식하고 함께 작동할 수 있습니다.
IdM 관점에서 도메인에는 다음 유형의 시스템이 포함됩니다.
  • 도메인 컨트롤러로 작동하는 IdM 서버
  • IdM 클라이언트 - 서버에 등록됨
또한 IdM 서버는 자체적으로 등록된 IdM 클라이언트입니다. 서버 시스템은 클라이언트와 동일한 기능을 제공합니다.
IdM은 Red Hat Enterprise Linux 시스템을 IdM 서버 및 클라이언트로 지원합니다.
참고
이 가이드에서는 Linux 환경에서 IdM 사용에 대해 설명합니다. Active Directory와의 통합에 대한 자세한 내용은 Windows 통합 가이드 를 참조하십시오.

1.2.1. ID 관리 서버

IdM 서버는 ID 및 정책 정보를 위한 중앙 리포지토리 역할을 합니다. 또한 도메인 구성원이 사용하는 서비스를 호스팅합니다. IdM은 IdM 웹 UI 및 명령줄 유틸리티 등 IdM 연결 서비스를 모두 중앙에서 관리할 수 있는 관리 툴 세트를 제공합니다.
IdM 서버 설치에 대한 자세한 내용은 2장. ID 관리 서버 설치 및 제거 을 참조하십시오.
중복성과 부하 분산을 지원하기 위해 데이터 및 구성을 IdM 서버에서 다른 IdM 서버인 초기 서버의 복제본 으로 복제할 수 있습니다. 클라이언트에 다양한 서비스를 제공하도록 서버와 해당 복제본을 구성할 수 있습니다. IdM 복제본에 대한 자세한 내용은 4장. ID 관리 복제본 설치 및 제거 을 참조하십시오.
1.2.1.1. IdM 서버에서 호스팅되는 서비스
다음 서비스 대부분은 IdM 서버에 엄격하게 설치할 필요가 없습니다. 예를 들어 CA(인증 기관), DNS 서버 또는 NTP(Network Time Protocol) 서버와 같은 서비스는 IdM 도메인 외부의 외부 서버에 설치할 수 있습니다.
Kerberos:&gt ;-<5kdckadmin
IdM은 Kerberos 프로토콜을 사용하여 SSO(Single Sign-On)를 지원합니다. Kerberos를 사용하면 사용자가 올바른 사용자 이름과 암호만 제공하면 되며 시스템에서 자격 증명을 다시 요청하지 않고 IdM 서비스에 액세스할 수 있습니다.
  • Kerberos 는 다음 두 부분으로 나뉩니다.
    • ScanSetting 5kdc 서비스는 Kerberos 인증 서비스 및 KMS(Key Distribution Center) 데몬입니다.
    • kadmin 서비스는 Kerberos 데이터베이스 관리 프로그램입니다.
    Kerberos 작동 방식에 대한 자세한 내용은 시스템 수준 인증 가이드에서 Kerberos 사용을 참조하십시오.
  • IdM의 Kerberos로 인증하는 방법에 대한 자세한 내용은 5.2절. “Kerberos를 사용하여 IdM에 로그인” 을 참조하십시오.
  • IdM에서 Kerberos 관리에 대한 자세한 내용은 29장. Kerberos 도메인 관리 을 참조하십시오.
LDAP 디렉터리 서버: dirsrv
IdM 내부 LDAP 디렉터리 서버 인스턴스는 Kerberos, 사용자 계정, 호스트 항목, 서비스, 정책, DNS 등과 같은 모든 IdM 정보를 저장합니다.
LDAP 디렉터리 서버 인스턴스는 Red Hat Directory Server 와 동일한 기술을 기반으로 합니다. 그러나 IdM별 작업에 맞게 조정됩니다.
참고
이 가이드에서는 이 구성 요소를 Directory Server로 설명합니다.
인증 기관: pki-tomcatd
통합 인증 기관(CA)Red Hat Certificate System 과 동일한 기술을 기반으로 합니다.pki 는 인증서 시스템 서비스에 액세스하기 위한 명령줄 인터페이스입니다.
참고
이 가이드에서는 구현 시 이 구성 요소를 인증서 시스템으로, 구현에서 제공하는 서비스를 처리할 때 인증 기관으로 참조합니다.
독립 실행형 Red Hat 제품인 Red Hat Certificate System에 대한 자세한 내용은 Red Hat Certificate System 제품 설명서를 참조하십시오.
DNS(Domain Name System): 이름이 지정
IdM은 동적 서비스 검색에 DNS 를 사용합니다. IdM 클라이언트 설치 유틸리티는 DNS의 정보를 사용하여 클라이언트 시스템을 자동으로 구성할 수 있습니다. 클라이언트가 IdM 도메인에 등록된 후에는 DNS를 사용하여 도메인 내에서 IdM 서버 및 서비스를 찾습니다.
Red Hat Enterprise Linux의 DNS(Domain Name System) 프로토콜의 BIND(Berkeley Internet Name Domain) 구현에는 이름이 지정된 DNS 서버가 포함되어 있습니다. named -pkcs11 은 PKCS#11 암호화 표준을 기본적으로 지원하는 BIND DNS 서버 버전입니다.
네트워크 시간 프로토콜: ntpd
많은 서비스에서 서버와 클라이언트는 특정 변동 내에서 동일한 시스템 시간을 보유해야 합니다. 예를 들어 Kerberos 티켓은 타임스탬프를 사용하여 유효성을 확인하고 재생 공격을 방지합니다. 서버와 클라이언트 스큐 사이의 시간이 허용된 범위를 벗어나면 Kerberos 티켓이 무효화됩니다.
기본적으로 IdM은 NTP(Network Time Protocol) 를 사용하여 ntpd 서비스를 통해 네트워크를 통해 클럭을 동기화합니다. NTP를 사용하면 중앙 서버가 권한 있는 클록 역할을 하며 클라이언트는 서버 클록과 일치하도록 시간을 동기화합니다. IdM 서버는 서버 설치 프로세스 중 IdM 도메인의 NTP 서버로 구성됩니다.
참고
가상 시스템에 설치된 IdM 서버에서 NTP 서버를 실행하면 일부 환경에서 부정확한 시간 동기화가 발생할 수 있습니다. 잠재적인 문제를 방지하려면 가상 시스템에 설치된 IdM 서버에서 NTP를 실행하지 마십시오. 가상 머신의 NTP 서버 안정성에 대한 자세한 내용은 이 지식베이스 솔루션을 참조하십시오.
Apache HTTP Server: httpd
Apache HTTP 웹 서버는 IdM 웹 UI를 제공하며 인증 기관과 기타 IdM 서비스 간의 통신도 관리합니다.
Samba / Winbind:>-& lt; ,winbind
Samba 는 Red Hat Enterprise Linux에서 CIFS(Common Internet File System) 프로토콜이라고도 하는 SMB(Server Message Block) 프로토콜을 구현합니다. CloudEvent 서비스를 통해 CloudEvent 프로토콜을 통해 파일 공유 및 공유 프린터와 같은 서버의 리소스에 액세스할 수 있습니다. AD(Active Directory) 환경을 사용하여 트러스트를 구성한 경우 Winbind 서비스는 IdM 서버와 AD 서버 간의 통신을 관리합니다.
  • 자세한 내용은 시스템 관리자 가이드의 Samba 를 참조하십시오.
  • 자세한 내용은 시스템 수준 인증 가이드Winbind 를 참조하십시오.
일회성 암호(OTP) 인증: ipa-otpd
일회성 암호(OTP) 는 이중 인증의 일환으로 한 세션에 대해서만 인증 토큰으로 생성된 암호입니다. OTP 인증은 ipa-otpd 서비스를 통해 Red Hat Enterprise Linux에서 구현됩니다.
custodia: ipa-custodia
cus todia는 Secrets 서비스 공급자이며 암호, 키, 토큰, 인증서와 같은 비밀 자료에 대한 액세스를 저장하고 공유합니다.
OpenDNSSEC: ipa-dnskeysyncd
OpenDNSSEC는 DNSSEC (DNS 보안 확장) 키와 영역의 서명을 추적하는 프로세스를 자동화하는 DNS 관리자입니다. ipa-dnskeysyncd servuce는 IdM Directory Server와 OpenDNSSEC 간의 동기화를 관리합니다.

그림 1.1. ID 관리 서버: 서비스 통합

ID 관리 서버: 서비스 통합

1.2.2. Identity Management 클라이언트

IdM 클라이언트는 IdM 도메인 내에서 작동하도록 구성된 시스템입니다. IdM 서버와 상호 작용하여 도메인 리소스에 액세스합니다. 예를 들어 서버에 구성된 Kerberos 도메인에 속하고 서버에서 발급한 인증서 및 티켓을 수신하며 인증 및 권한 부여를 위해 다른 중앙 집중식 서비스를 사용합니다.
IdM 클라이언트에는 도메인의 일부로 상호 작용하는 전용 클라이언트 소프트웨어가 필요하지 않습니다. Kerberos 또는 DNS와 같은 특정 서비스 및 라이브러리에 대한 적절한 시스템 구성만 있으면 됩니다. 이 구성은 클라이언트 시스템에 IdM 서비스를 사용하도록 지시합니다.
IdM 클라이언트 설치에 대한 자세한 내용은 3장. ID 관리 클라이언트 설치 및 제거 을 참조하십시오.
1.2.2.1. IdM 클라이언트가 호스팅하는 서비스
System Security Services Daemon: sssd
SSSD (System Security Services Daemon) 는 사용자 인증 및 캐싱 자격 증명을 관리하는 클라이언트 측 애플리케이션입니다.
캐싱을 사용하면 IdM 서버를 사용할 수 없거나 클라이언트가 오프라인 상태가 되는 경우 로컬 시스템에서 일반 인증 작업을 계속할 수 있습니다.
자세한 내용은 시스템 수준 인증 가이드의 SSSD 구성 을 참조하십시오. SSSD는 Windows Active Directory(AD)도 지원합니다. AD와 함께 SSSD를 사용하는 방법에 대한 자세한 내용은 Windows 통합 가이드의 SSSD에 Active Directory를 ID 공급자로 사용하기 를 참조하십시오.
certmonger
certmonger 서비스는 클라이언트의 인증서를 모니터링 및 갱신합니다. 시스템의 서비스에 대한 새 인증서를 요청할 수 있습니다.
자세한 내용은 시스템 수준 인증 가이드의 certmonger 작업을 참조하십시오.

그림 1.2. IdM 서비스 간 상호 작용

IdM 서비스 간 상호 작용

II 부. Identity Management 설치

이 부분에서는 Identity Management 배포를 계획하는 방법과 Identity Management 서버, 클라이언트 및 복제본을 설치하는 방법을 설명합니다.

2장. ID 관리 서버 설치 및 제거

IdM( Identity Management ) 서버는 도메인 컨트롤러로, IdM 도메인을 정의하고 관리합니다. IdM 서버를 설정하려면 다음을 수행해야 합니다.
  1. 필요한 패키지 설치
  2. 설정 스크립트를 사용하여 시스템 구성
부하 분산 및 중복을 위해 도메인에 여러 도메인 컨트롤러를 설정하는 것이 좋습니다. 이러한 추가 서버는 초기 마스터 IdM 서버의 복제본 입니다.
이 장에서는 첫 번째 초기 IdM 서버 설치에 대해 설명합니다. 초기 서버에서 복제본 설치에 대한 자세한 내용은 4장. ID 관리 복제본 설치 및 제거 을 참조하십시오.

2.1. 서버 설치 사전 요구 사항

2.1.1. 최소 하드웨어 요구 사항

IdM(Identity Management)을 실행하려면 서버에 최소한 다음 하드웨어 구성이 필요합니다.
  • 1 (가상) CPU 코어
  • 2GB RAM
    RAM이 적은 IdM을 설치할 수 있지만 IdM 업데이트와 같은 특정 작업에는 4GB 이상의 RAM이 필요합니다.
  • 10GB 하드 디스크
중요
데이터베이스에 저장된 데이터의 양에 따라 IdM에는 더 많은 리소스, 특히 더 많은 RAM이 필요합니다. 자세한 내용은 2.1.2절. “하드웨어 권장 사항” 의 내용을 참조하십시오. 필요한 하드웨어 리소스는 서버의 프로덕션 워크로드 또는 Active Directory에 대한 신뢰와 같은 다른 요인에 따라 달라집니다.

2.1.2. 하드웨어 권장 사항

RAM은 적절하게 크기를 조정하는 가장 중요한 하드웨어 기능입니다. 필요한 RAM 양을 확인하려면 다음 권장 사항을 고려하십시오.
  • 10,000명의 사용자와 100개 그룹의 경우: 최소 3GB의 RAM 및 1GB 스왑 공간
  • 사용자 100,000명 및 50,000개 그룹의 경우: 최소 16GB의 RAM 및 4GB의 스왑 공간
참고
인증서가 있는 기본 사용자 항목 또는 간단한 호스트 항목은 크기가 약 5~10KiB입니다.
대규모 배포의 경우 대부분의 데이터가 캐시에 저장되므로 디스크 공간을 늘리는 것보다 RAM을 늘리는 것이 더 효과적입니다.
성능을 높이기 위해 기본 Directory Server를 조정하여 성능을 향상시킬 수 있습니다. 자세한 내용은 Red Hat Directory Server Performance Tuning Guide 를 참조하십시오.

2.1.3. 시스템 요구 사항

Identity Management는 Red Hat Enterprise Linux 7에서 지원됩니다. DNS, Kerberos 또는 디렉터리 서버와 같은 서비스에 대한 사용자 지정 구성 없이 클린 시스템에 IdM 서버를 설치합니다.
중요
성능 및 안정성을 위해 Red Hat은 IdM 서버에 다른 애플리케이션 또는 서비스를 설치하지 않는 것이 좋습니다. 예를 들어 IdM 서버는 특히 LDAP 오브젝트 수가 높은 경우 시스템에 전체적으로 지정할 수 있습니다. 또한 IdM은 시스템에 통합되어 타사 애플리케이션이 IdM에 따라 구성 파일을 변경하는 경우 IdM이 중단될 수 있습니다.
IdM 서버 설치는 시스템 파일을 덮어쓰므로 IdM 도메인을 설정합니다. IdM은 원본 시스템 파일을 /var/lib/ipa/sysrestore/에 백업합니다.
NSCD(Name Service Cache Daemon) 요구사항
Red Hat은 ID 관리 시스템에서 NSCD를 비활성화할 것을 권장합니다. 또는 NSCD를 비활성화할 수 없는 경우 SSSD에서 캐시하지 않는 맵에 대해 NSCD만 활성화합니다.
NSCD 및 SSSD 서비스는 둘 다 캐싱을 수행하며 두 서비스를 동시에 사용할 때 문제가 발생할 수 있습니다. NSCD와 SSSD 간 충돌을 방지하는 방법에 대한 자세한 내용은 시스템 수준 인증 가이드 를 참조하십시오.
시스템에서 IPv6를 활성화해야 합니다
IdM 서버에는 커널에서 IPv6 프로토콜이 활성화되어 있어야 합니다. IPv6는 Red Hat Enterprise Linux 7 시스템에서 기본적으로 활성화되어 있습니다.
이전에 IPv6를 비활성화한 경우 Red Hat Knowledgebase에서 어떻게 Red Hat Enterprise Linux에서 IPv6 프로토콜을 비활성화하거나 활성화합니까? 에 설명된 대로 다시 활성화하십시오.
참고
IdM은 클라이언트로 등록하려는 호스트의 커널에서 IPv6 프로토콜을 활성화할 필요가 없습니다. 예를 들어 내부 네트워크에서 IPv4 프로토콜만 사용하는 경우 IPv4만 사용하여 IdM 서버와 통신하도록 SSSD(System Security Services Daemon)를 구성할 수 있습니다. /etc/sssd/sssd.conf 파일의 [domain/_NAME_] 섹션에 다음 행을 삽입하면 됩니다.
lookup_family_order = ipv4_only
lookup_family_order 에 대한 자세한 내용은 sssd.conf(5) 매뉴얼 페이지를 참조하십시오.

2.1.4. FIPS 환경에서 서버 설치 사전 요구 사항

Red Hat Enterprise Linux 7.4 이상을 사용하여 설정된 환경에서 다음을 수행합니다.
  • FIPS(Federal Information Processing Standard) 모드를 활성화한 시스템에서 새 IdM 서버 또는 복제본을 구성할 수 있습니다. 설치 스크립트는 FIPS가 활성화된 시스템을 자동으로 감지하고 관리자의 개입없이 IdM을 구성합니다.
    운영 체제에서 FIPS를 활성화하려면 보안 가이드에서 FIPS 모드 활성화 를 참조하십시오.
    중요
    다음을 수행할 수 없습니다.
    • FIPS 모드가 비활성화된 상태로 이전에 설치된 기존 IdM 서버에서 FIPS 모드를 활성화합니다.
    • FIPS 모드가 비활성화된 기존 IdM 서버를 사용하는 경우 FIPS 모드에서 복제본을 설치합니다.
Red Hat Enterprise Linux 7.3 또는 이전 버전을 사용하여 설정된 환경에서 다음을 수행합니다.
  • IdM은 FIPS 모드를 지원하지 않습니다. IdM 서버 또는 복제본을 설치하기 전에 시스템에서 FIPS를 비활성화하고 설치 후 활성화하지 마십시오.
FIPS 모드에 대한 자세한 내용은 보안 가이드의 연방 정보 처리 표준(FIPS) 을 참조하십시오.

2.1.5. 호스트 이름 및 DNS 구성

주의
매우 주의해서 다음 사항을 확인하십시오:
  • 테스트되고 기능적인 DNS 서비스를 사용할 수 있습니다.
  • 서비스가 올바르게 구성되어 있습니다.
이 요구 사항은 통합된 DNS 서비스가 있는 IdM 서버와 DNS 없이 설치된 IdM 서버에 적용됩니다. LDAP 디렉토리 서비스, Kerberos 및 Active Directory 통합 실행을 비롯한 거의 모든 IdM 도메인 기능에 DNS 레코드가 필수적입니다.
기본 DNS 도메인과 Kerberos 영역은 설치 후 변경할 수 없습니다.
단일 레이블 도메인 이름(예: .company ): IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com )으로 구성되어야 합니다.
서버 호스트에는 DNS 서버가 IdM 내에 통합되었는지 아니면 외부적으로 호스팅되었는지에 관계없이 DNS를 올바르게 구성해야 합니다.
ID 관리를 위해서는 서비스 레코드에 사용할 하나의 개별 DNS 도메인이 필요합니다. DNS 수준에서 충돌을 피하기 위해 이름이 IdM Kerberos 이름의 소문자 버전인 DNS 도메인인 기본 IdM DNS 도메인은 다른 IdM 또는 AD 도메인과 같은 다른 시스템과 공유할 수 없습니다.
기본 IdM DNS 도메인에는 표준 IdM 서비스에 대한 자체 SRV 레코드가 포함되어야 합니다. 필수 레코드는 다음과 같습니다.
  • _kerberos._tcp의 SRV 레코드.domain_name 및 _kerberos._udp.domain_name
  • _ldap._tcp.domain_name의 SRV 레코드
  • _kerberos의 TXT 레코드.domain_name
ipa 명령줄 툴을 통해 등록된 클라이언트가 IdM에서 제공하거나 중재된 서비스를 찾고 있는 경우 /etc/ipa/default.conf 파일에서 xmlrpc_uri 매개변수로 지정한 서버를 찾습니다. 필요한 경우 동일한 파일의 domain 매개 변수에 지정된 IdM DNS 도메인 이름을 조회하고 해당 도메인에 대해 _ldap._tcp.domain_name SRV 레코드를 참조하여 찾고 있는 서버를 확인합니다. /etc/ipa/default.conf 파일에 지정된 도메인이 없는 경우 클라이언트는 파일의 xmlrpc_uri 매개변수에 설정된 서버에만 연결합니다.
IdM 클라이언트 및 서버의 호스트 이름은 기본 DNS 도메인의 일부일 필요는 없습니다. 그러나 AD(Active Directory)를 사용하는 신뢰 환경에서는 IdM 서버의 호스트 이름이 IdM 소유 도메인, IdM 영역과 연결된 도메인, 신뢰할 수 있는 AD 영역과 연결된 도메인이 아닌 IdM 소유 도메인의 일부여야 합니다. 신뢰의 관점에서, 이 연관은 Realm 도메인을 사용하여 관리됩니다.
Active Directory DNS 도메인의 호스트 이름을 사용하여 IdM 클라이언트에 액세스하도록 사용자를 구성하는 데 대한 자세한 내용은 클라이언트 자체가 IdM에 가입되는 동안 Windows 통합 가이드의 Active Directory DNS 도메인에서 IdM 클라이언트를 참조하십시오.
서버 호스트 이름 확인
호스트 이름은 server.example.com 과 같은 정규화된 도메인 이름이어야 합니다.
중요
단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
  • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
  • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
  • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
시스템의 호스트 이름을 확인하려면 hostname 유틸리티를 사용합니다.
[root@server ~]# hostname
server.example.com
hostname의 출력은 localhost 또는 localhost6이 아니어야 합니다.
정방향 및 역방향 DNS 구성 확인
  1. 서버의 IP 주소를 가져옵니다. ip addr show 명령은 IPv4 및 IPv6 주소를 모두 표시합니다.
    • IPv4 주소는 inet 로 시작하는 행에 표시됩니다. 다음 예에서 구성된 IPv4 주소는 192.0.2.1 입니다.
    • IPv6 주소는 inet6 으로 시작하는 행에 표시됩니다. 전역 범위가 있는 IPv6 주소만 이 절차와 관련이 있습니다. 다음 예에서 반환된 IPv6 주소는 2001:DB8::1111 입니다.
    [root@server ~]# ip addr show
    ...
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    	link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
    	inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
    		valid_lft 106694sec preferred_lft 106694sec
    	inet6 2001:DB8::1111/32 scope global dynamic
     		valid_lft 2591521sec preferred_lft 604321sec
    	inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
    	       valid_lft forever preferred_lft forever
    
  2. dig 유틸리티를 사용하고 호스트 이름을 추가하여 정방향 DNS 구성을 확인합니다.
    1. dig +short server.example.com A 명령을 실행합니다. 반환된 IPv4 주소는 ip addr show 에서 반환된 IP 주소와 일치해야 합니다.
      [root@server ~]# dig +short server.example.com A
      192.0.2.1
      
    2. dig +short server.example.com AAAA 명령을 실행합니다. 명령에서 주소를 반환하는 경우 ip addr show 에서 반환하는 IPv6 주소와 일치해야 합니다.
      [root@server ~]# dig +short server.example.com AAAA
      2001:DB8::1111
      
      참고
      AAAA 레코드에 대한 출력이 반환되지 않으면 잘못된 구성이 아닙니다. 출력은 서버 시스템의 DNS에 IPv6 주소가 구성되지 않음을 의미합니다. 네트워크에서 IPv6 프로토콜을 사용하지 않으려면 이 상황에서 설치를 진행할 수 있습니다.
  3. dig 유틸리티를 사용하고 IP 주소를 추가하여 역방향 DNS 구성(PTR 레코드)을 확인합니다.
    1. dig +short -x IPv4 address 명령을 실행합니다. 서버 호스트 이름이 명령 출력에 표시되어야 합니다. 예를 들어 다음과 같습니다.
      [root@server ~]# dig +short -x 192.0.2.1
      server.example.com
      
    2. 이전 단계의 dig +short -x server.example.com AAAA 명령에서 IPv6 주소를 반환한 경우 dig를 사용하여 IPv6 주소를 쿼리합니다. 다시 서버 호스트 이름이 명령 출력에 표시되어야 합니다. 예를 들어 다음과 같습니다.
      [root@server ~]# dig +short -x 2001:DB8::1111
      server.example.com
      
      참고
      이전 단계에서 dig +short server.example.com AAAA 가 IPv6 주소를 표시하지 않은 경우 AAAA 레코드를 쿼리해도 아무 것도 출력하지 않습니다. 이 경우 이는 정상적인 동작이며 잘못된 구성이 아닙니다.
    이전 단계에서 dig +short server.example.com 이 IP 주소를 반환하더라도 다른 호스트 이름 또는 호스트 이름이 표시되지 않으면 역방향 DNS 구성이 올바르지 않음을 나타냅니다.
DNS 전달자의 Standards-comliance 확인
통합된 DNS를 사용하여 IdM을 구성할 때 DNSSEC(DNS 보안 확장 ) 레코드 유효성 검사를 사용하는 것이 좋습니다. 다른 서버에서 서명된 DNS 레코드를 검증하면 스푸핑된 주소로부터 IdM 설치를 보호합니다. 그러나 DNSSEC 검증은 성공적인 IdM 설치를 위한 어려운 요구 사항이 아닙니다.
IdM 설치 프로그램은 기본적으로 DNSSEC 레코드 검증을 활성화합니다. DNSSEC 검증을 성공적으로 수행하려면 DNSSEC가 올바르게 구성된 전달자가 있어야 합니다. 설치하는 동안 IdM은 글로벌 전달자를 확인하고 전달자가 DNSSEC를 지원하지 않으면 전달자에서 DNSSEC 검증이 비활성화됩니다.
IdM DNS 서버와 함께 사용하려는 모든 DNS 전달자가 DNS (EDNS0) 및 DNSSEC 표준에 대한 확장 메커니즘 을 준수하는지 확인하려면 다음을 수행하십시오.
$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA
명령에 의해 표시되는 예상 출력에는 다음 정보가 포함됩니다.
  • 상태: NOERROR
  • 플래그: ra
  • EDNS 플래그: do
  • RRSIG 레코드가 ANSWER 섹션에 있어야 합니다.
출력에서 이러한 항목이 없는 경우 DNS 전달자의 문서를 검사하고 EDNS0 및 DNSSEC가 지원되고 활성화되었는지 확인합니다. 최신 버전의 BIND 서버에서 dnssec-enable yes; 옵션을 /etc/named.conf 파일에 설정해야 합니다.
예를 들어 예상되는 출력은 다음과 같을 수 있습니다.
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
/etc/hosts 파일
중요
/etc/hosts 파일을 수동으로 수정하지 마십시오. /etc/hosts 가 수정된 경우 해당 내용이 다음 규칙을 준수하는지 확인합니다.
다음은 올바르게 구성된 /etc/hosts 파일의 예입니다. 호스트의 IPv4 및 IPv6 localhost 항목과 함께 IdM 서버 IP 주소와 호스트 이름이 첫 번째 항목으로 올바르게 나열됩니다. IdM 서버 호스트 이름은 localhost 항목의 일부가 될 수 없습니다.
127.0.0.1	localhost.localdomain	localhost
::1		localhost6.localdomain6	localhost6
192.0.2.1	server.example.com	server
2001:DB8::1111	server.example.com	server

2.1.6. 포트 요구 사항

IdM은 여러 포트를 사용하여 해당 서비스와 통신합니다. IdM이 작동하려면 이러한 포트가 열리고 사용할 수 있어야 합니다. 다른 서비스에서 사용하거나 방화벽에서 차단할 수 없습니다.
필요한 포트 목록
표 2.1. ID 관리 포트
Service 포트 프로토콜
HTTP/HTTPS 80, 443 TCP
LDAP/LDAPS 389, 636 TCP
Kerberos 88, 464 TCP 및 UDP
DNS 53 TCP 및 UDP
NTP 123 UDP
참고
IdM은 포트 80 및 389를 사용합니다.
  • 포트 80(HTTP)은 온라인 인증서 상태 프로토콜(OCSP) 응답 및 CRL(인증서 폐기 목록)을 제공하는 데 사용됩니다. 둘 다 디지털 서명되므로 중간자(man-in-the-middle) 공격으로부터 보호됩니다.
  • 포트 389(LDAP)는 암호화에 STARTTLS 및 GSSAPI를 사용합니다.
또한 IdM은 포트 8080에서 수신 대기하고 일부 설치에서도 포트 8443 및 749에 수신 대기할 수 있습니다. 그러나 이러한 세 포트는 내부적으로만 사용됩니다. IdM은 열린 상태로 유지해도 외부에서 액세스할 필요가 없습니다. 포트 8080, 8443 및 749를 열지 않고 방화벽에서 차단한 상태로 두는 것이 좋습니다.
firewalld 서비스 목록
표 2.2. firewalld 서비스
서비스 이름 자세한 내용은 다음을 참조하십시오.
freeipa-ldap /usr/lib/firewalld/services/freeipa-ldap.xml
freeipa-ldaps /usr/lib/firewalld/services/freeipa-ldaps.xml
dns /usr/lib/firewalld/services/dns.xml
필요한 포트 열기
  1. firewalld 서비스가 실행 중인지 확인합니다.
    • firewalld 가 현재 실행되고 있는지 확인하려면 다음을 수행합니다.
      # systemctl status firewalld.service
    • firewalld 를 시작하고 시스템이 부팅될 때 자동으로 시작하도록 구성하려면 다음을 수행합니다.
      # systemctl start firewalld.service
      # systemctl enable firewalld.service
  2. firewall-cmd 유틸리티를 사용하여 필요한 포트를 엽니다. 다음 옵션 중 하나를 선택하십시오.
    1. firewall-cmd --add-port 명령을 사용하여 방화벽에 개별 포트를 추가합니다. 예를 들어 기본 영역에서 포트를 열려면 다음을 수행합니다.
      # firewall-cmd --permanent --add-port={80/tcp,443/tcp,list_of_ports}
    2. firewall-cmd --add-service 명령을 사용하여 방화벽에 firewalld 서비스를 추가합니다. 예를 들어 기본 영역에서 포트를 열려면 다음을 수행합니다.
      # firewall-cmd --permanent --add-service={freeipa-ldap,list_of_services}
    firewall-cmd 를 사용하여 시스템의 포트를 여는 방법에 대한 자세한 내용은 보안 가이드 또는 firewall-cmd(1) 매뉴얼 페이지에서 CLI를 사용하여 런타임 및 영구 구성의 설정 수정을 참조하십시오.
  3. firewall-cmd 구성을 다시 로드하여 변경 사항이 즉시 수행되었는지 확인합니다.
    # firewall-cmd --reload
    프로덕션 환경에서 시스템에서 firewalld 를 다시 로드하면 DNS 연결이 시간 초과될 수 있습니다. 보안 가이드CLI를 사용하여 런타임의 설정 수정 및 영구 구성 도 참조하십시오. 필요한 경우 시간 초과를 방지하고 실행 중인 시스템에서 변경 사항을 영구적으로 만들려면 firewall-cmd 명령의 --runtime-to-permanent 옵션을 사용합니다. 예를 들면 다음과 같습니다.
    # firewall-cmd --runtime-to-permanent --add-port={80/tcp,443/tcp,389/tcp,636/tcp,88/tcp,88/udp,464/tcp,464/udp,53/tcp,53/udp,123/udp}
  4. 선택 사항입니다. 포트를 사용할 수 있는지 확인하려면 nc,telnet 또는 nmap 유틸리티를 사용하여 포트에 연결하거나 포트 스캔을 실행합니다.
참고
또한 들어오고 나가는 트래픽 모두에 대해 네트워크 기반 방화벽을 열어야 합니다.

2.2. IdM 서버 설치에 필요한 패키지

통합 DNS 서비스 없이 서버에 필요한 패키지를 설치하려면 다음을 수행합니다.
# yum install ipa-server
통합 DNS 서비스를 사용하여 서버에 필요한 패키지를 설치하려면 다음을 수행합니다.
# yum install ipa-server ipa-server-dns
참고
사용 사례에 DNS가 적합한지 확인하려면 2.3.1절. “통합 DNS 사용 여부 결정” 을 참조하십시오.
ipa-server 패키지는 다음과 같은 종속성으로 기타 필수 패키지를 자동으로 설치합니다.
  • Directory 서버 LDAP 서비스용 389-DS-base
  • Kerberos 서비스용 krb5-server 패키지
  • 다양한 IdM 관련 툴

2.3. IdM 서버 설치: 소개

참고
다음 섹션의 설치 절차와 예제는 함께 사용할 수 없습니다. 필요한 결과를 얻기 위해 결합할 수 있습니다. 예를 들어, 통합된 DNS와 외부 호스트 루트 CA로 서버를 설치할 수 있습니다.
ipa-server-install 유틸리티는 IdM 서버를 설치 및 구성합니다.
서버를 설치하기 전에 다음 섹션을 참조하십시오.
ipa-server-install 유틸리티는 자동화된 서버 설정을 허용하는 비대화형 설치 모드를 제공합니다. 자세한 내용은 를 참조하십시오. 2.3.7절. “비활성 서버 설치”
ipa-server-install 설치 스크립트는 /var/log/ipaserver-install.log에 로그 파일을 생성합니다. 설치에 실패하면 로그가 문제를 식별하는 데 도움이 될 수 있습니다.

2.3.1. 통합 DNS 사용 여부 결정

IdM은 통합된 DNS를 통해 또는 통합된 DNS 없이 서버를 설치할 수 있도록 지원합니다.
통합 DNS 서비스가 포함된 IdM 서버
IdM에서 제공하는 통합 DNS 서버는 범용 DNS 서버로 사용하도록 설계되지 않았습니다. IdM 배포 및 유지 관리와 관련된 기능만 지원합니다. 일부 고급 DNS 기능은 지원하지 않습니다.
Red Hat은 IdM 배포 내의 기본 사용에 대해 IdM 통합 DNS를 강력하게 권장합니다. IdM 서버가 DNS도 관리하는 경우 DNS와 기본 IdM 툴이 긴밀하게 통합되어 일부 DNS 레코드 관리를 자동화할 수 있습니다.
IdM 서버를 마스터 DNS 서버로 사용하는 경우에도 다른 외부 DNS 서버를 슬레이브 서버로 사용할 수 있습니다.
예를 들어, 사용 환경에서 Active Directory 통합 DNS 서버와 같은 다른 DNS 서버를 이미 사용하고 있는 경우 IdM 기본 도메인만 IdM 통합 DNS에 위임할 수 있습니다. IdM 통합 DNS로 DNS 영역을 마이그레이션할 필요가 없습니다.
참고
SAN(Subject Alternative Name) 확장에 IP 주소가 있는 IdM 클라이언트의 인증서를 발행해야 하는 경우 IdM 통합 DNS 서비스를 사용해야 합니다.
통합 DNS가 포함된 서버를 설치하려면 다음을 참조하십시오. 2.3.3절. “통합 DNS로 서버 설치”
통합 DNS 서비스가 없는 IdM 서버
외부 DNS 서버는 DNS 서비스를 제공하는 데 사용됩니다. 다음 상황에서 DNS 없이 IdM 서버를 설치하는 것이 좋습니다.
  • IdM DNS 범위를 벗어난 고급 DNS 기능이 필요한 경우
  • 외부 DNS 서버를 사용할 수 있도록 구성된 DNS 인프라가 있는 환경에서
통합 DNS 없이 서버를 설치하려면 를 참조하십시오. 2.3.4절. “통합 DNS가 없는 서버 설치”
중요
시스템이 2.1.5절. “호스트 이름 및 DNS 구성” 에 설명된 DNS 요구 사항을 충족하는지 확인합니다.
통합 또는 외부 DNS에 대한 유지 관리 요구 사항
통합 DNS 서버를 사용하는 경우 대부분의 DNS 레코드 유지 관리가 자동화됩니다. 필수 항목만 있으면 됩니다.
  • 상위 도메인에서 IdM 서버로 올바른 위임 설정
    예를 들어 IdM 도메인 이름이 ipa.example.com 인 경우 example.com 도메인에서 올바르게 위임해야 합니다.
    참고
    다음 명령을 사용하여 위임을 확인할 수 있습니다.
    # dig @IP_address +norecurse +short ipa.example.com. NS
    ip_addressexample.com DNS 도메인을 관리하는 서버의 IP 주소입니다. 위임이 올바르면 명령에서 DNS 서버가 설치된 IdM 서버를 나열합니다.
외부 DNS 서버를 사용하는 경우 다음을 수행해야 합니다.
  • DNS 서버에서 수동으로 새 도메인 생성
  • IdM 설치 프로그램에서 생성된 영역 파일의 레코드를 사용하여 새 도메인을 수동으로 입력합니다.
  • 복제본을 설치하거나 제거한 후 및 Active Directory 신뢰가 구성된 후와 같이 서비스 구성을 변경한 후에 수동으로 레코드를 업데이트합니다.
DNS 분할 공격 방지
IdM 통합 DNS 서버의 기본 구성을 사용하면 모든 클라이언트가 DNS 서버에 재귀적 쿼리를 실행할 수 있습니다. 서버가 신뢰할 수 없는 클라이언트가 있는 네트워크에 배포된 경우 서버의 구성을 변경하여 권한 있는 클라이언트로만 재귀를 제한합니다. [1]
권한이 부여된 클라이언트만 재귀 쿼리를 실행할 수 있도록 하려면 서버의 /etc/named.conf 파일에 적절한 ACL(액세스 제어 목록) 문을 추가합니다. 예를 들어 다음과 같습니다.
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
  allow-query { any; };
  allow-recursion { authorized; };
};

2.3.2. 사용할 CA 구성 결정

IdM은 통합된 IdM 인증 기관(CA)을 사용하거나 CA가 없는 서버를 설치할 수 있도록 지원합니다.
통합 IdM CA가 있는 서버
대부분의 배포에 적합한 기본 구성입니다. Certificate System은 CA 서명 인증서를 사용하여 IdM 도메인에서 인증서를 생성하고 서명합니다.
주의
두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.
CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.
IdM CA 서명 인증서는 자체 서명 라고도 하는 루트 CA 또는 외부 CA에서 서명할 수 있습니다.
IdM CA는 루트 CA입니다.
기본 구성입니다.
이 구성으로 서버를 설치하려면 2.3.3절. “통합 DNS로 서버 설치”2.3.4절. “통합 DNS가 없는 서버 설치” 을 참조하십시오.
외부 CA는 루트 CA입니다.
IdM CA는 외부 CA에 종속되어 있습니다. 그러나 IdM 도메인의 모든 인증서는 인증서 시스템 인스턴스에서 계속 발급됩니다.
외부 CA는 corporate CA 또는 Thawte와 같은 타사 CA일 수 있습니다. 외부 CA는 루트 CA 또는 하위 CA일 수 있습니다. IdM 도메인 내에서 발행된 인증서는 유효 기간 또는 인증서를 발급할 수 있는 도메인과 같이 외부 루트 CA 또는 중간 CA 인증서에서 설정한 제한 사항을 적용할 수 있습니다.
외부 호스트 루트 CA를 사용하여 서버를 설치하려면 다음을 참조하십시오. 2.3.5절. “외부 CA를 루트 CA로 사용하여 서버 설치”
CA가 없는 서버
이 구성 옵션은 인프라 내 제한이 서버에 인증서 서비스를 설치할 수 없는 경우 매우 드문 경우에 적합합니다.
설치하기 전에 타사 기관에서 이러한 인증서를 요청해야 합니다.
  • LDAP 서버 인증서 및 개인 키
  • Apache 서버 인증서 및 개인 키
  • LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인
주의
통합 IdM CA 없이 인증서를 관리하는 것은 상당한 유지 관리 부담입니다. 예를 들어, IdM 서버의 Apache 웹 서버 및 LDAP 서버 인증서를 수동으로 관리해야 합니다. 여기에는 다음이 포함됩니다.
  • 인증서 생성 및 업로드.
  • 인증서 만료 날짜 모니터링. certmonger 서비스는 통합 CA 없이 IdM을 설치한 경우 인증서를 추적하지 않습니다.
  • 중단을 방지하기 위해 만료되기 전에 인증서를 갱신합니다.
통합된 CA 없이 서버를 설치하려면 다음을 참조하십시오. 2.3.6절. “CA 없는 상태에서 설치”
참고
CA 없이 IdM 도메인을 설치하는 경우 나중에 CA 서비스를 설치할 수 있습니다. 기존 IdM 도메인에 CA를 설치하려면 26.8절. “기존 IdM 도메인에 CA 설치” 을 참조하십시오.

2.3.3. 통합 DNS로 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
통합 DNS를 사용하여 서버를 설치하려면 설치 프로세스 중에 다음 정보를 입력합니다.
DNS 전달자
다음 DNS 전달자 설정이 지원됩니다.
  • 하나 이상의 전달자(대화식 설치의 --forwarder 옵션)
  • 전달자 없음(대화식 설치의 --no-forwarders 옵션)
DNS 전달을 사용할지 여부를 모르는 경우 33.6절. “DNS 전달 관리” 을 참조하십시오.
역방향 DNS 영역
다음과 같은 역방향 DNS 영역 설정이 지원됩니다.
  • IdM DNS에서 생성해야 하는 역방향 영역의 자동 감지(상호식 설치의 기본 설정, 비대화형 설치의 --auto-reverse 옵션)
  • 역방향 영역 자동 감지(상호 설치의 --no-reverse 옵션)가 없습니다.
-- auto-reverse 옵션이 설정된 경우 --allow-zone- overlap 옵션이 무시됩니다. 옵션 조합 사용:
$ ipa-server-install --auto-reverse --allow-zone-overlap
따라서 다른 DNS 서버 등의 기존 DNS 영역과 겹치는 역방향 영역을 생성하지 않습니다.
비대화형 설치의 경우 --setup-dns 옵션도 추가합니다.

예 2.1. 통합 DNS로 서버 설치

이 절차에서는 서버를 설치합니다.
  • 통합 DNS 사용
  • 기본 CA 구성인 루트 CA로 통합 IdM CA 사용
  1. ipa-server-install 유틸리티를 실행합니다.
    # ipa-server-install
  2. 스크립트는 통합 DNS 서비스를 구성하라는 메시지를 표시합니다. yes 를 입력합니다.
    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. 스크립트에서 몇 가지 필수 설정에 대한 메시지를 표시합니다.
    • 대괄호로 기본값을 허용하려면 Enter 를 누릅니다.
    • 제안된 기본값과 다른 값을 제공하려면 필수 값을 입력합니다.
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:
    주의
    Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
    이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
  4. Directory Server superuser의 암호, cn=Directory Manager, admin IdM 시스템 사용자 계정에 암호를 입력합니다.
    Directory Manager password:
    IPA admin password:
  5. 스크립트에서 DNS 전달자를 묻는 메시지를 표시합니다.
    Do you want to configure DNS forwarders? [yes]:
    • DNS 전달자를 구성하려면 yes 를 입력한 다음 명령줄의 지침을 따릅니다.
      설치 프로세스는 설치된 IdM 서버의 /etc/named.conf 파일에 전달자 IP 주소를 추가합니다.
      • 전달 정책 기본 설정은 ipa-dns-install(1) 도움말 페이지의 --forward-policy 설명을 참조하십시오.
      • 자세한 내용은 “전달 정책” 을 참조하십시오.
    • DNS 전달을 사용하지 않으려면 no 를 입력합니다.
  6. 스크립트에서는 서버와 연결된 IP 주소에 대한 DNS 역방향(PTR) 레코드를 구성해야 하는지 확인하라는 메시지를 표시합니다.
    Do you want to search for missing reverse zones? [yes]:
    검색 및 누락된 역방향 영역을 실행하면 스크립트에서 PTR 레코드와 함께 역방향 영역을 만들지 여부를 묻습니다.
    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    참고
    IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 이 용도로 사용할 수 있습니다.
  7. yes 를 입력하여 서버 구성을 확인합니다.
    Continue to configure the system with these values? [no]: yes
  8. 이제 설치 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  9. 상위 도메인에서 IdM DNS 도메인에 DNS 위임을 추가합니다. 예를 들어 IdM DNS 도메인이 ipa.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.
    중요
    IdM DNS 서버가 설치될 때마다 이 단계를 반복해야 합니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다.
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다.
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.4. 통합 DNS가 없는 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
통합된 DNS 없이 서버를 설치하려면 DNS 관련 옵션 없이 ipa-server-install 유틸리티를 실행합니다.

예 2.2. 통합 DNS가 없는 서버 설치

이 절차에서는 서버를 설치합니다.
  • 통합 DNS가 없는 경우
  • 기본 CA 구성인 루트 CA로 통합 IdM CA 사용
  1. ipa-server-install 유틸리티를 실행합니다.
    # ipa-server-install
  2. 스크립트는 통합 DNS 서비스를 구성하라는 메시지를 표시합니다. Enter 를 눌러 기본 no 옵션을 선택합니다.
    Do you want to configure integrated DNS (BIND)? [no]:
  3. 스크립트에서 몇 가지 필수 설정에 대한 메시지를 표시합니다.
    • 대괄호로 기본값을 허용하려면 Enter 를 누릅니다.
    • 제안된 기본값과 다른 값을 제공하려면 필수 값을 입력합니다.
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:
    주의
    Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
    이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
  4. Directory Server superuser의 암호, cn=Directory Manager, admin IdM 시스템 사용자 계정에 암호를 입력합니다.
    Directory Manager password:
    IPA admin password:
  5. yes 를 입력하여 서버 구성을 확인합니다.
    Continue to configure the system with these values? [no]: yes
  6. 이제 설치 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  7. 설치 스크립트는 DNS 리소스 레코드가 있는 파일인 /tmp/ipa.system. recordss.UFRPto.db 파일을 아래 예제 출력에 생성합니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
    중요
    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다.
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다.
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------

2.3.5. 외부 CA를 루트 CA로 사용하여 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
서버를 설치하고 루트 CA로 외부 CA를 사용하여 연결하려면 ipa-server-install 유틸리티를 사용하여 다음 옵션을 전달합니다.
  • --external-ca 는 외부 CA를 사용하도록 지정합니다.
  • --external-ca-type 은 외부 CA의 유형을 지정합니다. 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.
그렇지 않으면 대부분의 설치 절차는 2.3.3절. “통합 DNS로 서버 설치” 또는 2.3.4절. “통합 DNS가 없는 서버 설치” 과 동일합니다.
인증서 시스템 인스턴스를 구성하는 동안 유틸리티는 CSR(인증서 서명 요청): /root/ipa.csr 의 위치를 출력합니다.
...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as: /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
이 경우 다음을 수행합니다.
  1. /root/ipa.csr에 있는 CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
    중요
    인증서에 적절한 확장 기능을 요청해야 할 수 있습니다. Identity Management용으로 생성된 CA 서명 인증서는 유효한 CA 인증서여야 합니다. 이를 위해 기본 제약 조건 확장 true 에서 CA 매개변수를 설정해야 합니다. 자세한 내용은 RFC 5280기본 제약 조건 섹션을 참조하십시오.
  2. 64로 인코딩된 기본 Blob에서 발행된 CA의 발행 인증서 및 CA 인증서 체인을 검색합니다(Gecl 파일 또는 Windows CA의 Base_64 인증서). 이 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일에 있는 다운로드 링크를 통해 관리자는 필요한 모든 인증서를 다운로드할 수 있습니다.
    중요
    CA 인증서가 아닌 CA의 전체 인증서 체인을 가져와야 합니다.
  3. ipa-server-install을 다시 실행합니다. 이번에는 새로 발급한 CA 인증서와 CA 체인 파일의 위치 및 이름을 지정합니다. 예를 들어 다음과 같습니다.
    # ipa-server-install --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
참고
ipa-server-install --external-ca 명령은 다음 오류로 인해 실패하는 경우가 있습니다.
ipa         : CRITICAL failed to configure ca instance Command '/usr/sbin/pkispawn -s CA -f /tmp/configuration_file' returned non-zero exit status 1
Configuration of CA failed
이 오류는 *_proxy 환경 변수가 설정될 때 발생합니다. 이 문제를 해결하는 방법에 대한 해결 방법은 다음을 참조하십시오. B.1.1절. “외부 CA 설치 실패”

2.3.6. CA 없는 상태에서 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
CA 없이 서버를 설치하려면 ipa-server-install 유틸리티에 옵션을 추가하여 필요한 인증서를 수동으로 제공해야 합니다. 그 외에도 대부분의 설치 절차는 2.3.3절. “통합 DNS로 서버 설치” 또는 2.3.4절. “통합 DNS가 없는 서버 설치” 과 동일합니다.
중요
자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.
CA 없이 IdM 서버 설치에 필요한 인증서
CA가 없는 IdM 서버 설치의 경우 다음 인증서를 제공해야 합니다.
  • 다음 옵션을 사용하여 제공되는 LDAP 서버 인증서 및 개인 키:
    • --dirsrv-cert-file: LDAP 서버 인증서에 대한 인증서 및 개인 키 파일
    • --dirsrv- cert-file에 지정된 파일의 개인 키에 액세스하는 암호가 --dirsrv-pin
  • 다음 옵션을 사용하여 제공되는 Apache 서버 인증서 및 개인 키:
    • 인증서 용 --HTTP-cert-file 및 Apache 서버 인증서에 대한 개인 키 파일
    • --http- cert-file에 지정된 파일의 개인 키에 액세스하는 암호의 --HTTP-pin
  • 다음 옵션을 사용하여 제공된 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인입니다.
    • 전체 CA 인증서 체인 또는 일부 인증서 파일의 --dirsrv-cert-file 및 --http -cert-file
      다음 형식으로 --dirsrv-cert-file 및 --http- cert-file 옵션에 지정된 파일을 제공할 수 있습니다.
      • PEM(개인 정보 보호 이메일) 인코딩 인증서(RFC 7468). IdM 설치 프로그램에서는 연결된 PEM 인코딩 오브젝트를 사용할 수 있습니다.
      • 고유 인코딩 규칙(DER)
      • PKCS #7 인증서 체인 오브젝트
      • PKCS #8 개인 키 오브젝트
      • PKCS #12 아카이브
      --dirsrv-cert-file 및 --http- cert-file 옵션을 여러 번 지정하여 여러 파일을 지정할 수 있습니다.
  • 필요한 경우 다음 옵션을 사용하여 제공된 전체 CA 인증서 체인을 완료하는 인증서 파일입니다.
    • --CA-cert-file 은 이 옵션을 여러 번 추가할 수 있습니다.
  • 선택적으로, 다음 옵션을 사용하여 제공된 외부 KDC(Kerberos 키 배포 센터) PKINIT 인증서를 제공하는 인증서 파일:
    • Kerberos KDC SSL 인증서 및 개인 키의 --PKINIT-cert-file
    • Kerberos KDC 개인 키 잠금을 해제하는 암호가 --PKINIT-pin
    PKINIT 인증서를 제공하지 않으면 ipa-server-install 은 자체 서명된 인증서가 있는 로컬ECDHE로 IdM 서버를 구성합니다. 자세한 내용은 27장. IdM의 Kerberos PKINIT 인증 의 내용을 참조하십시오.
-- ca-cert- file 및 -- http-cert-file을 사용하여 제공된 파일과 함께 --dirsrv - cert-file 및 --http-cert-file 을 사용하여 제공된 파일에는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 있어야 합니다.
이러한 옵션에서 허용하는 인증서 파일 형식에 대한 자세한 내용은 ipa-server-install(1) 도움말 페이지를 참조하십시오.
참고
나열된 명령줄 옵션은 --external-ca 옵션과 호환되지 않습니다.
참고
이전 버전의 Identity Management에서는 --root-ca-file 옵션을 사용하여 루트 CA 인증서의 PEM 파일을 지정했습니다. 신뢰할 수 있는 CA가 항상 DS 및 HTTP 서버 인증서의 발급자이므로 이 작업은 더 이상 필요하지 않습니다. IdM은 이제 --dirsrv-cert-file, --http-cert-file--ca-cert-file 에 지정된 인증서에서 루트 CA 인증서를 자동으로 인식합니다.

예 2.3. CA 없이 IdM 서버 설치 명령 예

[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt

2.3.7. 비활성 서버 설치

참고
어떤 DNS 또는 CA 구성이 적합한지 모르는 경우 2.3.1절. “통합 DNS 사용 여부 결정”2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
비대화식 설치에 필요한 최소 옵션은 다음과 같습니다.
  • Directory Server 슈퍼 사용자의 암호를 제공하는 --DS-password
  • --admin-password: IdM 관리자인 admin의 암호를 제공합니다.
  • Kerberos 영역 이름 제공 --realm
  • 설치 프로세스에서 호스트 이름 및 도메인 이름에 대한 기본 옵션을 선택하도록 하려면 --u nattended
선택적으로 다음 설정에 대한 사용자 정의 값을 제공할 수 있습니다.
  • 서버 호스트 이름에 --hostname
  • 도메인 이름의 --domain
사용자 지정 값으로 LDIF 파일의 경로를 지정하여 --dirsrv-config-file 매개변수를 사용하여 기본 Directory Server 설정을 변경할 수도 있습니다. 자세한 내용은 Red Hat Enterprise Linux 7.3 릴리스 노트에서 서버 또는 복제본 설치 중에 개별 디렉터리 서버 옵션 설정을 지원하는 IdM 을 참조하십시오.
주의
Red Hat은 Kerberos 영역 이름이 기본 DNS 도메인 이름과 동일하며 모든 문자를 대문자로 표시하는 것이 좋습니다. 예를 들어 기본 DNS 도메인이 ipa.example.com 인 경우 Kerberos 영역 이름에 IPA.EXAMPLE.COM 을 사용합니다.
이름 지정 방법이 다르면 Active Directory 트러스트를 사용하지 않으며 다른 부정적인 결과가 발생할 수 있습니다.
ipa-server-install 에서 허용하는 전체 옵션 목록은 ipa-server-install --help 명령을 실행하십시오.

예 2.4. 상호 작용이 없는 기본 설치

  1. 필요한 설정을 제공하여 ipa-server-install 유틸리티를 실행합니다. 예를 들어, 다음은 통합된 DNS 및 통합된 CA에 서버를 설치합니다.
    # ipa-server-install --realm EXAMPLE.COM --ds-password DM_password --admin-password admin_password --unattended
  2. 이제 설정 스크립트에서 서버를 구성합니다. 작업이 완료될 때까지 기다립니다.
  3. 설치 스크립트는 DNS 리소스 레코드가 있는 파일인 /tmp/ipa.system. recordss.UFRPto.db 파일을 아래 예제 출력에 생성합니다. 이러한 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.
    ...
    Restarting the KDC
    Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
    Restarting the web server
    ...
    중요
    기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
이 스크립트는 CA 인증서를 백업하고 필요한 네트워크 포트가 열려 있는지 확인하는 것이 좋습니다. IdM 포트 요구 사항 및 이러한 포트를 여는 방법에 대한 지침은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
새 서버를 테스트하려면 다음을 수행합니다.
  1. admin 자격 증명을 사용하여 Kerberos 영역에 인증합니다. 이렇게 하면 admin 이 올바르게 구성되어 Kerberos 영역에 액세스할 수 있는지 확인합니다.
    # kinit admin
  2. ipa user-find 와 같은 명령을 실행합니다. 새 서버에서 명령은 구성된 유일한 사용자인 admin 을 출력합니다.
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------


[1] 자세한 내용은 DNS Amplification Attacks 페이지를 참조하십시오.

2.4. IdM 서버 설치 제거

참고
도메인 레벨 0 에서, 절차는 다릅니다. D.3.6절. “복제 제거” 참조하십시오.
사전 요구 사항
  • CA(인증 기관), KRA(키 복구 기관) 또는 DNSSEC(DNS Security Extensions) 서버 역할을 하는 서버를 설치 제거하기 전에 이러한 서비스가 도메인의 다른 서버에서 실행되고 있는지 확인합니다.
    주의
    CA, KRA 또는 DNSSEC 서버 역할을 하는 마지막 복제본을 제거하면 ID 관리 기능이 심각하게 중단될 수 있습니다.
절차
server.example.com 을 설치 제거하려면 다음을 수행합니다.
  1. 다른 서버에서 ipa server-del 명령을 사용하여 토폴로지에서 server.example.com 을 삭제합니다.
    [root@another_server ~]# ipa server-del server.example.com
  2. server.example.com 에서 ipa-server-install --uninstall 명령을 사용합니다.
    [root@server ~]# ipa-server-install --uninstall
  3. server.example.com 을 가리키는 모든 네임 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하든 상관없이 적용됩니다.

2.5. 서버 이름 변경

IdM 서버의 호스트 이름을 설정한 후에는 변경할 수 없습니다. 그러나 서버를 다른 이름으로 교체할 수 있습니다.
  1. CA 및 새 필수 호스트 이름 또는 IP 주소를 사용하여 서버의 새 복제본을 만듭니다. 자세한 내용은 4장. ID 관리 복제본 설치 및 제거 에서 참조하십시오.
  2. 초기 IdM 서버 인스턴스를 중지합니다.
    [root@old_server ~]# ipactl stop
  3. 다른 모든 복제본 및 클라이언트가 이전처럼 작동하는지 확인합니다.
  4. 에 설명된 대로 초기 IdM 서버를 설치 제거합니다 2.4절. “IdM 서버 설치 제거”

3장. ID 관리 클라이언트 설치 및 제거

이 장에서는 IdM(Identity Management) 도메인을 서버에 등록된 클라이언트 시스템으로 연결하도록 시스템을 구성하는 방법을 설명합니다.
참고
IdM 도메인의 클라이언트 및 서버에 대한 자세한 내용은 1.2절. “ID 관리 도메인” 을 참조하십시오.

3.1. 클라이언트 설치 사전 요구 사항

DNS 요구 사항
적절한 DNS 위임을 사용합니다. IdM의 DNS 요구 사항에 대한 자세한 내용은 2.1.5절. “호스트 이름 및 DNS 구성” 을 참조하십시오.
클라이언트의 resolv.conf 파일을 변경하지 마십시오.
포트 요구사항
IdM 클라이언트는 IdM 서버의 여러 포트에 연결하여 서비스와 통신합니다. 이러한 포트는 IdM 서버에서 들어오는 방향으로 열어야 합니다. IdM 포트에 대한 자세한 내용은 2.1.6절. “포트 요구 사항” 을 참조하십시오.
클라이언트에서 이러한 포트를 나가는 방향으로 엽니다. firewalld 와 같이 나가는 패킷을 필터링하지 않는 방화벽을 사용하는 경우 포트는 이미 발신 방향으로 사용할 수 있습니다.
NSCD(Name Service Cache Daemon) 요구사항
Red Hat은 ID 관리 시스템에서 NSCD를 비활성화할 것을 권장합니다. 또는 NSCD를 비활성화할 수 없는 경우 SSSD에서 캐시하지 않는 맵에 대해 NSCD만 활성화합니다.
NSCD 및 SSSD 서비스는 둘 다 캐싱을 수행하며 두 서비스를 동시에 사용할 때 문제가 발생할 수 있습니다. NSCD와 SSSD 간 충돌을 방지하는 방법에 대한 자세한 내용은 시스템 수준 인증 가이드 를 참조하십시오.

3.1.1. IdM 클라이언트 설치를 위해 지원되는 RHEL 버전

RHEL 7의 최신 마이너 버전에서 IdM 서버가 실행 중인 IdM(Identity Management) 배포는 최신 마이너 버전에서 실행되는 클라이언트를 지원합니다.
  • RHEL 7
    RHEL 8
    RHEL 9
참고
IdM 배포 FIPS를 준수하도록 하려는 경우 {RH}는 환경을 RHEL 9로 마이그레이션하는 것이 좋습니다. RHEL 9는 FIPS 140-3에 대해 인증된 첫 번째 주요 RHEL 버전입니다.

3.1.2. FIPS 환경에서 클라이언트 설치 사전 요구 사항

Red Hat Enterprise Linux 7.4 이상을 사용하여 설정된 환경에서 다음을 수행합니다.
  • FIPS(Federal Information Processing Standard) 모드를 사용하여 시스템에서 새 클라이언트를 구성할 수 있습니다. 설치 스크립트는 FIPS가 활성화된 시스템을 자동으로 감지하고 관리자의 개입없이 IdM을 구성합니다.
    운영 체제에서 FIPS를 활성화하려면 보안 가이드에서 FIPS 모드 활성화 를 참조하십시오.
Red Hat Enterprise Linux 7.3 또는 이전 버전을 사용하여 설정된 환경에서 다음을 수행합니다.
  • IdM은 FIPS 모드를 지원하지 않습니다. IdM 클라이언트를 설치하기 전에 시스템에서 FIPS를 비활성화하고 설치 후 활성화하지 마십시오.
FIPS 모드에 대한 자세한 내용은 보안 가이드의 연방 정보 처리 표준(FIPS) 을 참조하십시오.

3.2. 클라이언트 설치에 필요한 패키지

ipa-client 패키지를 설치합니다.
# yum install ipa-client
ipa-client 패키지는 SSSD(System Security Services Daemon) 패키지와 같은 종속성으로 기타 필수 패키지를 자동으로 설치합니다.

3.3. 클라이언트 설치

ipa-client-install 유틸리티는 IdM 클라이언트를 설치 및 구성합니다. 설치 프로세스에서는 클라이언트를 등록하는 데 사용할 수 있는 자격 증명을 제공해야 합니다. 다음과 같은 인증 방법이 지원됩니다.
admin과 같은 클라이언트를 등록할 권한이 있는 사용자의 자격 증명
기본적으로 ipa-client-install 에는 이 옵션이 필요합니다. 예를 보려면 3.3.1절. “클라이언트 대화형 설치” 을 참조하십시오.
ipa-client-install 에 사용자 자격 증명을 직접 제공하려면 --principal--password 옵션을 사용합니다.
서버에 미리 생성된 임의의 일회성 암호
이 인증 방법을 사용하려면 ipa-client-install 옵션에 --random 옵션을 추가합니다. 예 3.1. “임의 암호를 사용하여 비대화형 클라이언트 설치” 참조하십시오.
이전 등록의 주요 내용
이 인증 방법을 사용하려면 --keytab 옵션을 ipa-client-install 에 추가합니다. 자세한 내용은 3.8절. “IdM 도메인에 클라이언트를 다시 등록” 을 참조하십시오.
자세한 내용은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.
다음 섹션에서는 기본 설치 시나리오를 문서화합니다. ipa-client-install 및 허용되는 옵션의 전체 목록을 사용하는 방법에 대한 자세한 내용은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.

3.3.1. 클라이언트 대화형 설치

다음 절차에서는 필요한 경우 사용자에게 입력하라는 메시지를 표시하는 동안 클라이언트를 설치합니다. 사용자는 admin 사용자와 같은 도메인에 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 자격 증명을 제공합니다.
  1. ipa-client-install 유틸리티를 실행합니다.
    다음 중 하나가 적용되는 경우 --enable-dns-updates 옵션을 추가하여 클라이언트 시스템의 IP 주소로 DNS 레코드를 업데이트합니다.
    • 클라이언트가 통합 DNS와 함께 설치되는 IdM 서버
    • 네트워크의 DNS 서버는 GSS-TSIG 프로토콜을 사용하여 DNS 항목 업데이트를 허용합니다.
    SSSD 캐시에 Kerberos 암호 저장을 비활성화하려면 --no-krb5-offline-passwords 옵션을 추가합니다.
  2. 설치 스크립트는 필요한 모든 설정을 자동으로 가져오려고 시도합니다.
    1. DNS 영역과 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트는 필요한 모든 값을 자동으로 검색하고 출력합니다. yes 를 입력하여 확인합니다.
      Client hostname: client.example.com
      Realm: EXAMPLE.COM
      DNS Domain: example.com
      IPA Server: server.example.com
      BaseDN: dc=example,dc=com
      
      Continue to configure the system with these values? [no]: yes
      다른 값으로 시스템을 설치하려면 현재 설치를 취소합니다. 그런 다음 ipa-client-install 을 다시 실행하고 명령줄 옵션을 사용하여 필요한 값을 지정합니다.
      자세한 내용은 ipa-client-install(1) 도움말 페이지의 DNS 자동 검색 섹션을 참조하십시오.
    2. 스크립트에서 일부 설정을 자동으로 가져오지 못하면 값을 묻는 메시지가 표시됩니다.
      중요
      단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
      정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
      • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
      • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
      • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
      다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
  3. 이 스크립트에서는 클라이언트를 등록하는 데 ID를 사용할 사용자를 묻는 메시지를 표시합니다. 기본적으로 admin 사용자는 다음과 같습니다.
    User authorized to enroll computers: admin
    Password for admin@EXAMPLE.COM
  4. 이제 설치 스크립트에서 클라이언트를 구성합니다. 작업이 완료될 때까지 기다립니다.
    Client configuration complete.
  5. ipa-client-automount 유틸리티를 실행하여 IdM에 대해 NFS를 자동으로 구성합니다. 자세한 내용은 34.2.1절. “자동으로 NFS 설정” 을 참조하십시오.

3.3.2. 비대화형 클라이언트 설치

비대화형 설치의 경우 명령줄 옵션을 사용하여 ipa-client-install 유틸리티에 필요한 모든 정보를 제공합니다. 비대화식 설치에 필요한 최소 옵션은 다음과 같습니다.
  • 클라이언트 등록에 사용할 인증 정보를 지정하는 옵션은 3.3절. “클라이언트 설치” 을 참조하십시오. 자세한 내용은 을 참조하십시오.
  • 사용자 확인 없이 설치를 실행할 수 있도록 --u nattended
DNS 영역 및 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트에서 기타 필요한 모든 값을 자동으로 검색합니다. 스크립트에서 값을 자동으로 검색할 수 없는 경우 명령줄 옵션을 사용하여 제공합니다.
  • 클라이언트 머신의 정적 호스트 이름을 지정하는 --hostname
    중요
    단일 레이블 도메인 이름(예: .company)을 사용하지 마십시오. IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com)으로 구성되어야 합니다.
    정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
    • 유효한 DNS 이름이므로 숫자, 영문자 및 하이픈(-)만 사용할 수 있습니다. 밑줄(_)과 같은 기타 문자는 호스트 이름에서 DNS 오류가 발생합니다.
    • 이 모든 것이 더 낮은 사례입니다. 대문자는 허용되지 않습니다.
    • 정규화된 도메인 이름은 루프백 주소로 해석해서는 안 됩니다. 127.0.0.1 이 아닌 머신의 공용 IP 주소로 확인되어야 합니다.
    다른 권장 이름 지정 사례는 Red Hat Enterprise Linux 보안 가이드의 권장 이름 지정 사례를 참조하십시오.
  • 클라이언트가 등록할 IdM 서버의 호스트 이름을 지정하는 --server
  • 클라이언트가 등록할 IdM 서버의 DNS 도메인 이름을 지정하는 --domain
  • Kerberos 영역 이름을 지정하는 --realm
다음 중 하나가 적용되는 경우 --enable-dns-updates 옵션을 추가하여 클라이언트 시스템의 IP 주소로 DNS 레코드를 업데이트합니다.
  • 클라이언트가 통합 DNS와 함께 설치되는 IdM 서버
  • 네트워크의 DNS 서버는 GSS-TSIG 프로토콜을 사용하여 DNS 항목 업데이트를 허용합니다.
SSSD 캐시에 Kerberos 암호 저장을 비활성화하려면 --no-krb5-offline-passwords 옵션을 추가합니다.
ipa-client-install 에서 허용하는 전체 옵션 목록은 ipa-client-install(1) 매뉴얼 페이지를 참조하십시오.

예 3.1. 임의 암호를 사용하여 비대화형 클라이언트 설치

이 절차에서는 사용자에게 입력 메시지를 표시하지 않고 클라이언트를 설치합니다. 이 프로세스에는 등록을 승인하는 데 사용되는 서버에서 임의의 1회 암호를 미리 생성하는 작업이 포함됩니다.
  1. 기존 서버에서 다음을 수행합니다.
    1. 관리자로 로그인합니다.
      $ kinit admin
    2. 새 시스템을 IdM 호스트로 추가합니다. ipa host-add 명령과 함께 --random 옵션을 사용하여 임의의 암호를 생성합니다.
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      시스템을 IdM 도메인에 등록하는 데 사용한 후 생성된 암호가 유효하지 않습니다. 등록이 완료되면 적절한 호스트 키탭으로 바뀝니다.
  2. 클라이언트를 설치할 시스템에서 ipa-client-install 을 실행하고 다음 옵션을 사용합니다.
    • ipa host-add 출력에서 임의의 암호의 --password
      참고
      암호에는 종종 특수 문자가 포함되어 있습니다. 따라서 작은따옴표(')로 묶어야 합니다.
    • 사용자 확인 없이 설치를 실행할 수 있도록 --u nattended
    DNS 영역 및 SRV 레코드가 시스템에 올바르게 설정된 경우 스크립트에서 기타 필요한 모든 값을 자동으로 검색합니다. 스크립트에서 값을 자동으로 검색할 수 없는 경우 명령줄 옵션을 사용하여 제공합니다.
    예를 들어 다음과 같습니다.
    # ipa-client-install --password 'W5YpARl=7M.n' --domain example.com --server server.example.com --unattended
  3. ipa-client-automount 유틸리티를 실행하여 IdM에 대해 NFS를 자동으로 구성합니다. 자세한 내용은 34.2.1절. “자동으로 NFS 설정” 을 참조하십시오.

3.4. Kickstart를 통해 IdM 클라이언트 설정

Kickstart 등록은 Red Hat Enterprise Linux를 설치할 때 IdM 도메인에 새 시스템을 자동으로 추가합니다. Kickstart에 대한 자세한 내용은 설치 가이드의 Kickstart 설치를 참조하십시오.
Kickstart 클라이언트 설치 준비에는 다음 단계가 포함됩니다.

3.4.1. IdM 서버에서 클라이언트 호스트 항목 사전 작성

  1. admin으로 로그인합니다.
    $ kinit admin
  2. IdM 서버에 호스트 항목을 생성하고 항목의 임시 암호를 설정합니다.
    $ ipa host-add client.example.com --password=secret
    암호는 Kickstart에서 클라이언트 설치 중에 인증하는 데 사용되며 첫 번째 인증 시도 후 만료됩니다. 클라이언트가 성공적으로 설치되면 해당 키탭을 사용하여 인증됩니다.

3.4.2. 클라이언트에 대한 Kickstart 파일 만들기

IdM 클라이언트를 설정하는 데 사용되는 Kickstart 파일은 다음을 포함해야 합니다.
  • 설치할 패키지 목록의 ipa-client 패키지:
    %packages
    @ X Window System
    @ Desktop
    @ Sound and Video
    ipa-client
    ...
    자세한 내용은 설치 가이드 의 패키지 선택을 참조하십시오.
  • 설치 후 명령:
    • 등록하기 전에 SSH 키가 생성되었는지 확인합니다.
    • ipa-client-install 유틸리티를 실행하여 다음을 지정합니다.
      예를 들어 다음과 같습니다.
      %post --log=/root/ks-post.log
      
      # Generate SSH keys to ensure that ipa-client-install uploads them to the IdM server
      /usr/sbin/sshd-keygen
      
      # Run the client install script
      /usr/sbin/ipa-client-install --hostname=client.example.com --domain=EXAMPLE.COM --enable-dns-updates --mkhomedir -w secret --realm=EXAMPLE.COM --server=server.example.com
    비대화형 설치의 경우 --unattended 옵션도 추가합니다.
    클라이언트 설치 스크립트에서 머신 인증서를 요청하도록 하려면 다음을 수행합니다.
    • ipa-client-install--request-cert 옵션을 추가합니다.
    • kickstart chroot 환경에서 getcertipa-client-install 유틸리티의 시스템 버스 주소를 /dev/null 로 설정합니다. 이렇게 하려면 ipa-client-install 명령 앞에 설치 후 명령 파일에 다음 행을 추가합니다.
      # env DBUS_SYSTEM_BUS_ADDRESS=unix:path=/dev/null getcert list
      # env DBUS_SYSTEM_BUS_ADDRESS=unix:path=/dev/null ipa-client-install
    참고
    Kickstart를 등록하기 전에 sshd 서비스를 시작하지 않는 것이 좋습니다. 클라이언트를 등록하기 전에 sshd 를 시작하면 SSH 키가 자동으로 생성되는 반면 위의 스크립트를 사용하는 것이 좋습니다.
    자세한 내용은 설치 가이드의 설치 후 스크립트를 참조하십시오.
Kickstart 사용에 대한 자세한 내용은 설치 가이드에서 Kickstart 설치 방법을 참조하십시오 . Kickstart 파일의 예는 샘플 Kickstart 구성 을 참조하십시오.

3.5. 설치 후 고려 사항

3.5.1. 사전 ID 관리 구성 제거

ipa-client-install 스크립트는 이전 LDAP 및 SSSD 구성을 /etc/openldap/ldap.conf/etc/sssd/sssd.conf 파일에서 제거하지 않습니다. 클라이언트를 설치하기 전에 이러한 파일에서 구성을 수정한 경우 스크립트는 새 클라이언트 값을 추가하지만 주석 처리합니다. 예를 들어 다음과 같습니다.
BASE   dc=example,dc=com
URI    ldap://ldap.example.com

#URI ldaps://server.example.com # modified by IPA
#BASE dc=ipa,dc=example,dc=com # modified by IPA
새 ID 관리 구성 값을 적용하려면 다음을 수행합니다.
  1. /etc/openldap/ldap.conf/etc/sssd/sssd.conf 를 엽니다.
  2. 이전 구성을 삭제합니다.
  3. 새 ID 관리 구성의 주석 처리를 해제합니다.
  4. 변경 사항을 적용하려면 시스템 전체 LDAP 구성을 사용하는 서버 프로세스를 다시 시작해야 할 수 있습니다. openldap 라이브러리를 사용하는 애플리케이션은 일반적으로 시작될 때 구성을 가져옵니다.

3.6. 새 클라이언트 테스트

클라이언트가 서버에 정의된 사용자에 대한 정보를 얻을 수 있는지 확인합니다. 예를 들어 기본 admin 사용자를 확인하려면 다음을 실행합니다.
[user@client ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)

3.7. 클라이언트 설치 제거

클라이언트를 설치 제거해도 IdM 도메인에서 클라이언트 및 시스템 서비스 IdM별 구성(예: SSSD)이 제거됩니다. 이렇게 하면 클라이언트 시스템의 이전 구성이 복원됩니다.
  1. ipa-client-install --uninstall 명령을 실행합니다.
    # ipa-client-install --uninstall
  2. 서버에서 클라이언트 호스트의 DNS 항목을 수동으로 제거합니다. 33.4.6절. “DNS 영역에서 레코드 삭제” 참조하십시오.

3.8. IdM 도메인에 클라이언트를 다시 등록

클라이언트 가상 머신이 삭제되고 여전히 키탭이 있는 경우 클라이언트를 다시 나열할 수 있습니다.
참고
도메인 항목이 아직 활성 상태인 클라이언트만 다시 등록할 수 있습니다. 클라이언트 설치 제거 ( ipa-client-install --uninstall) 또는 호스트 항목 ( ipa host-disable을 사용)을 비활성화한 경우 다시 등록할 수 없습니다.
다시 등록하는 동안 IdM은 다음을 수행합니다.
  • 원래 호스트 인증서 취소
  • 새 호스트 인증서 생성
  • 새 SSH 키 만들기
  • 새 키탭 생성

3.8.1. 관리자 계정을 사용하여 클라이언트 다시 등록

  1. 동일한 호스트 이름으로 클라이언트 시스템을 다시 생성합니다.
  2. 클라이언트 시스템에서 ipa-client-install --force-join 명령을 실행합니다.
    # ipa-client-install --force-join
  3. 이 스크립트에서는 클라이언트를 등록하는 데 ID를 사용할 사용자를 묻는 메시지를 표시합니다. 기본적으로 admin 사용자는 다음과 같습니다.
    User authorized to enroll computers: admin
    Password for admin@EXAMPLE.COM

3.8.2. 클라이언트 키탭을 사용하여 비대화식 클라이언트 다시 등록

클라이언트 키탭을 사용한 재등록은 자동 설치에 적합하거나 관리자 암호를 사용할 때 다른 경우에 적합하지 않습니다.
  1. 원래 클라이언트의 keytab 파일을 백업합니다(예: /tmp 또는 /root 디렉토리).
  2. 동일한 호스트 이름으로 클라이언트 시스템을 다시 생성합니다.
  3. 클라이언트를 다시 등록하고 --keytab 옵션을 사용하여 키탭 위치를 지정합니다.
    # ipa-client-install --keytab /tmp/krb5.keytab
    참고
    key tab 옵션에 지정된 키 탭은 등록을 시작하도록 인증할 때만 사용됩니다. IdM은 재등록 과정에서 클라이언트의 새 키탭을 생성합니다.

3.9. 클라이언트 시스템 이름 변경

이 섹션에서는 IdM 클라이언트의 이름을 변경하는 방법을 설명합니다. 프로세스에는 다음이 포함됩니다.
주의
클라이언트 이름 변경은 수동 절차입니다. 호스트 이름을 완전히 변경해야 하는 경우가 아니면 Red Hat은 사용하지 않는 것이 좋습니다.
현재 서비스 및 키탭 설정 확인
현재 클라이언트를 설치 제거하기 전에 클라이언트의 특정 설정을 기록해 둡니다. 새 호스트 이름으로 시스템을 다시 등록한 후 이 설정을 적용합니다.
  1. 시스템에서 실행 중인 서비스를 확인합니다.
    1. ipa service-find 명령을 사용하고 출력에서 인증서로 서비스를 식별합니다.
      $ ipa service-find client.example.com
    2. 또한 각 호스트에는 ipa service-find 출력에 표시되지 않는 기본 호스트 서비스가 있습니다. 호스트 주체라고도 하는 호스트 서비스의 서비스 주체는 host /client.example.com 입니다.
  2. 시스템이 속해 있는 모든 호스트 그룹을 식별합니다.
    # ipa hostgroup-find client.example.com
  3. ipa service-find client.example.com 에서 표시되는 모든 서비스 주체의 경우 client.example.com 에서 해당 키탭의 위치를 확인합니다.
    클라이언트 시스템의 각 서비스에는 service_name/hostname@REALM 형식의 Kerberos 사용자(예: ldap/client.example.com@EXAMPLE.COM )가 있습니다.
IdM 도메인에서 클라이언트 시스템 제거
  1. IdM 도메인에서 클라이언트 시스템을 등록 해제합니다. 3.7절. “클라이언트 설치 제거” 참조하십시오.
  2. /etc/krb5.keytab 이외의 식별된 각 키 탭에서 이전 주체를 제거합니다.
    [root@client ~]# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.COM
    29.4절. “키 탭 제거” 참조하십시오.
  3. IdM 서버에서 호스트 항목을 제거합니다. 그러면 모든 서비스가 제거되고 해당 호스트에 대해 발행된 모든 인증서가 취소됩니다.
    [root@server ~]# ipa host-del client.example.com
이때 호스트는 IdM에서 완전히 제거됩니다.
새 호스트 이름으로 클라이언트 다시 등록
  1. 필요에 따라 머신의 이름을 변경합니다.
  2. 시스템을 IdM 클라이언트로 다시 등록하십시오. 3.8절. “IdM 도메인에 클라이언트를 다시 등록” 참조하십시오.
  3. IdM 서버에서 “현재 서비스 및 키탭 설정 확인” 로 식별되는 모든 서비스에 새 키탭을 추가합니다.
    [root@server ~]# ipa service-add service_name/new_host_name
  4. “현재 서비스 및 키탭 설정 확인” 에 할당된 인증서가 있는 서비스에 대한 인증서를 생성합니다. 다음을 수행할 수 있습니다.
  5. “현재 서비스 및 키탭 설정 확인” 에서 식별된 호스트 그룹에 클라이언트를 다시 추가합니다. 13.3절. “사용자 또는 호스트 그룹 멤버 추가 및 제거” 참조하십시오.

4장. ID 관리 복제본 설치 및 제거

복제본은 기존 ID 관리 서버의 구성을 복제하여 생성합니다. 따라서 서버와 복제본은 동일한 코어 구성을 공유합니다. 복제본 설치 프로세스는 기존 서버 구성을 복사하고 해당 구성을 기반으로 복제본을 설치합니다.
참고
복제본에서 IdM 배포를 다시 빌드할 때 주로 권장되는 또 다른 백업 솔루션은 9장. ID 관리 백업 및 복원 에 설명된 대로 ipa-backup 유틸리티입니다.

4.1. IdM 복제 설명

대량 클라이언트의 서비스 가용성 및 중복성을 제공하기 위해 단일 도메인에 복제 라는 여러 IdM 서버를 배포할 수 있습니다. 복제본은 기능적으로 동일한 초기 IdM 서버의 복제본입니다. 사용자, 시스템, 인증서 및 구성된 정책에 대한 동일한 내부 정보를 공유합니다.
그러나 환경의 한 서버만 충족할 수 있는 두 개의 고유한 서버 역할이 있습니다.
  • CA 갱신 서버: 이 서버는 CA(인증 기관) 하위 시스템 인증서 갱신을 관리합니다.
  • CRL Generation Server: 이 서버는 CRL(인증서 폐기 목록)을 생성합니다.
기본적으로 설치된 첫 번째 CA 서버는 CA 갱신 서버 및 CRL Generation Server 역할을 모두 수행합니다. 이러한 역할을 토폴로지의 다른 CA 서버로 전환할 수 있습니다(예: 처음 설치된 서버를 해제해야 하는 경우). 두 역할 모두 동일한 서버에서 수행할 필요가 없습니다.
참고
IdM 토폴로지의 시스템 유형에 대한 자세한 내용은 1.2절. “ID 관리 도메인” 을 참조하십시오.
복제 는 복제본 간에 데이터를 복사하는 프로세스입니다. 복제본 간 정보는 다중 마스터 복제를 사용하여 공유됩니다. 복제 계약을 통해 연결된 모든 복제본은 업데이트를 수신하므로 데이터 마스터로 간주됩니다.

그림 4.1. 서버 및 복제 계약

서버 및 복제 계약

4.2. 복제본에 대한 배포 고려 사항

4.2.1. 토폴로지에서 서버 서비스 배포

IdM 서버는 CA(인증 기관) 또는 DNS와 같은 다양한 서비스를 실행할 수 있습니다. 복제본은 에서 만든 서버와 동일한 서비스를 실행할 수 있지만 필수는 아닙니다.
예를 들어 초기 서버가 DNS를 실행하는 경우에도 DNS 서비스 없이 복제본을 설치할 수 있습니다. 마찬가지로 초기 서버가 DNS 없이 설치된 경우에도 복제본을 DNS 서버로 설정할 수 있습니다.

그림 4.2. 다른 서비스의 복제

다른 서비스의 복제
복제의 CA 서비스
CA 없이 복제본을 설정하면 인증서 작업에 대한 모든 요청을 토폴로지의 CA 서버로 전달합니다.
주의
두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.
CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.
복제본에서 CA를 설정하는 경우 구성은 초기 서버의 CA 구성을 미러링해야 합니다.
  • 예를 들어 서버에 루트 CA로 통합된 IdM CA가 포함된 경우, 루트 CA로 통합 CA를 사용하여 복제본도 설치해야 합니다.
  • 지원되는 CA 구성 옵션은 2.3.2절. “사용할 CA 구성 결정” 를 참조하십시오.

4.2.2. 복제 토폴로지 권장 사항

Red Hat은 다음 지침을 준수할 것을 권장합니다.
단일 IdM 도메인에 60개 이상의 복제본을 구성
Red Hat은 60개 이하의 복제본이 포함된 환경 지원을 보장합니다.
각 복제본당 최소 2 개의 복제 계약 구성
추가 복제 계약을 구성하면 초기 복제본과 마스터 서버 간에뿐만 아니라 다른 복제본 간에도 정보가 복제됩니다.
  • 서버 A에서 복제본 B를 생성한 다음 서버 A에서 복제 C를 복제하는 경우 복제본 A와 C의 복제본은 직접 참여하지 않으므로 복제본 B의 데이터를 복제 C로 전파하기 전에 먼저 서버 A로 복제해야 합니다.

    그림 4.3. 복제 계약(복제 계약)에 참여하지 않는 복제 B 및 C 복제

    복제 계약(복제 계약)에 참여하지 않는 복제 B 및 C 복제
    복제본 B와 복제본 C 간에 추가 복제 연결을 설정하면 데이터가 직접 복제되므로 데이터 가용성, 일관성, 페일오버 허용 오차 및 성능이 향상됩니다.

    그림 4.4. 복제 계약(복제 계약)에 가입한 복제 B 및 C 복제

    복제 계약(복제 계약)에 가입한 복제 B 및 C 복제
    복제 계약 관리에 대한 자세한 내용은 6장. 복제 토폴로지 관리 을 참조하십시오.
복제본당 4개 이상의 복제 계약을 구성하는 것은 불필요합니다. 서버당 다수의 복제 계약에 따라 한 번에 한 명의 마스터만 업데이트할 수 있기 때문에 특정 소비자 서버는 한 번에 하나의 마스터만 업데이트할 수 있으므로 다른 계약에는 유휴 상태가 되고 대기 중입니다. 또한 복제 계약 수가 너무 많으면 전체 성능에 부정적인 영향을 미칠 수 있습니다.
참고
ipa topologysuffix-verify 명령은 토폴로지가 가장 중요한 권장 사항을 충족하는지 확인합니다. 자세한 내용은 ipa topologysuffix-verify --help 를 실행합니다.
명령을 사용하려면 토폴로지 접미사를 지정해야 합니다. 자세한 내용은 6.1절. “복제 계약, 토폴로지 번들 및 토폴로지 세그먼트 설명” 을 참조하십시오.

그림 4.5. 토폴로지 예

토폴로지 예
4.2.2.1. 끊김 토폴로지
가장 복원력이 높은 토폴로지 중 하나는 셀에서 적은 수의 서버를 사용하여 서버와 복제본에 대한 셀 구성을 만드는 것입니다.
  • 셀은 엄격한 셀로, 모든 서버는 서로 복제 계약을 맺고 있습니다.
  • 각 서버에는 셀 외부에 있는 다른 서버와 하나의 복제 연결이 있습니다. 이렇게 하면 모든 셀이 도메인의 다른 모든 셀에 느슨하게 연결됩니다.
탄탄한 셀 토폴로지를 수행하려면 다음을 수행합니다.
  • 각 주 사무소, 데이터 센터 또는 지역에 IdM 서버가 하나 이상 있어야 합니다. IdM 서버가 두 개 있는 것이 좋습니다.
  • 데이터 센터당 네 개 이상의 서버가 없습니다.
  • 소규모 사무소의 경우 복제본을 사용하는 대신 SSSD를 사용하여 자격 증명을 캐시하고 오프사이트 IdM 서버를 데이터 백엔드로 캐시합니다.

4.2.3. 숨겨진 복제 모드

기본적으로 새 복제본을 설정하면 설치 프로그램이 DNS에 서비스(SRV) 리소스 레코드를 자동으로 생성합니다. 이러한 레코드를 통해 클라이언트는 복제본 및 해당 서비스를 자동으로 검색할 수 있습니다. 숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 서버입니다. 그러나 DNS에는 SRV 레코드가 없으며 LDAP 서버 역할이 활성화되어 있지 않습니다. 따라서 클라이언트는 서비스 검색을 사용하여 이러한 숨겨진 복제본을 탐지할 수 없습니다.
참고
숨겨진 복제본 기능은 Red Hat Enterprise Linux 7.7 이상에서 기술 프리뷰로 제공되므로 지원되지 않습니다.
숨겨진 복제본은 주로 클라이언트를 중단할 수 있는 전용 서비스용으로 설계되었습니다. 예를 들어 IdM의 전체 백업은 마스터 또는 복제본에서 모든 IdM 서비스를 종료해야 합니다. 숨겨진 복제본을 사용하지 않으므로 관리자는 클라이언트에 영향을 주지 않고 이 호스트의 서비스를 일시적으로 종료할 수 있습니다. 기타 사용 사례에는 IdM API에 대한 고로드 작업 또는 LDAP 서버(예: 대량 가져오기 또는 광범위한 쿼리)가 포함됩니다.
복제본을 숨겨진 대로 설치하려면 --hidden-replica 매개변수를 ipa-replica-install 명령에 전달합니다. 복제본 설치에 대한 자세한 내용은 4.5절. “복제 생성: 소개” 을 참조하십시오.
또는 기존 복제본의 상태를 변경할 수 있습니다. 자세한 내용은 6.5.4절. “Hidden Replicas의 데모 및 프로모션” 의 내용을 참조하십시오.

4.3. 복제본 설치 사전 요구 사항

복제본에 대한 설치 요구 사항은 IdM 서버와 동일합니다. 복제 시스템이 2.1절. “서버 설치 사전 요구 사항” 에 나열된 모든 사전 요구 사항을 충족하는지 확인합니다.
일반 서버 요구 사항 외에도 다음 조건을 충족해야 합니다.
복제본은 동일한 또는 이후 버전의 IdM을 실행해야 합니다.
예를 들어 마스터 서버가 Red Hat Enterprise Linux 7에서 실행 중이고 IdM 4.4 패키지를 사용하는 경우 복제본도 Red Hat Enterprise Linux 7 이상에서 실행되고 IdM 버전 4.4 이상을 사용해야 합니다. 이렇게 하면 서버에서 복제본으로 구성이 올바르게 복사될 수 있습니다.
중요
IdM은 이전 버전의 마스터 복제본 생성을 지원하지 않습니다. 이전 버전을 사용하여 복제본을 생성하려고 하면 설치에 실패합니다.
복제본에 추가 포트가 열려 있어야 합니다.
2.1.6절. “포트 요구 사항” 에 설명된 표준 IdM 서버 포트 요구 사항 외에 다음 사항도 충족해야 합니다.
  • 도메인 수준 0에서 TCP 포트 22 를 복제 설정 프로세스 중 마스터 서버에 열린 상태로 유지합니다. SSH를 사용하여 마스터 서버에 연결하려면 이 포트가 필요합니다.
    참고
    도메인 수준에 대한 자세한 내용은 7장. 도메인 수준 표시 및 승격 을 참조하십시오.
  • 서버 중 하나가 Red Hat Enterprise Linux 6를 실행하고 CA가 설치되어 있는 경우 복제 구성 중과 후에 TCP 포트 7389 를 계속 엽니다. 순전히 Red Hat Enterprise Linux 7 환경에서는 포트 7389가 필요하지 않습니다.
firewall-cmd 유틸리티를 사용하여 포트를 여는 방법에 대한 자세한 내용은 2.1.6절. “포트 요구 사항” 을 참조하십시오.

4.4. 복제 설치에 필요한 패키지

복제 패키지 요구 사항은 서버 패키지 요구 사항과 동일합니다. 2.2절. “IdM 서버 설치에 필요한 패키지” 참조하십시오.

4.5. 복제 생성: 소개

ipa-replica-install 유틸리티는 기존 IdM 서버에서 새 복제본을 설치하는 데 사용됩니다. Identity Management 복제본을 한 번에 하나씩 설치합니다. 동시에 여러 복제본의 설치는 지원되지 않습니다.
참고
이 장에서는 Red Hat Enterprise Linux 7.3에 도입된 단순화된 복제 설치에 대해 설명합니다. 절차에는 도메인 수준 1이 필요합니다( 7장. 도메인 수준 표시 및 승격참조).
도메인 수준 0에 복제본을 설치하는 방법에 대한 문서는 ??? 를 참조하십시오.
새 복제본을 설치할 수 있습니다.
이러한 두 경우 모두 ipa-replica-install 에 옵션을 추가하여 복제본을 사용자 지정할 수 있습니다. “ipa-replica-install을 사용하여 사용 사례에 맞게 복제 구성” 을 참조하십시오.
복제본을 숨겨진 대로 설치하려면 --hidden-replica 매개 변수를 ipa-replica-install 에 전달합니다. 숨겨진 복제본에 대한 자세한 내용은 4.2.3절. “숨겨진 복제 모드” 을 참조하십시오.
중요
복제 중인 IdM 서버가 Active Directory에 대한 신뢰가 있는 경우 ipa-replica-install 을 실행한 후 복제본을 신뢰 에이전트로 설정합니다. Windows 통합 가이드에서 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.
복제본으로 기존 클라이언트 승격
기존 클라이언트에 복제본을 설치하려면 클라이언트가 승격할 권한이 있는지 확인해야 합니다. 이를 수행하려면 다음 중 하나를 선택하십시오.
권한 있는 사용자의 자격 증명 제공
기본 권한 있는 사용자는 admin 입니다. 사용자의 자격 증명을 제공하는 방법에는 여러 가지가 있습니다. 다음을 수행할 수 있습니다.
  • IdM에 자격 증명을 대화형으로 가져오도록 요청합니다.
    참고
    이는 권한 있는 사용자의 자격 증명을 제공하는 기본 방법입니다. ipa-replica-install 을 실행할 때 자격 증명을 사용할 수 없는 경우 설치에 자동으로 메시지가 표시됩니다.
  • 클라이언트에서 ipa-replica-install 을 실행하기 전에 사용자로 로그인합니다.
    $ kinit admin
  • 사용자의 주체 이름과 암호를 ipa-replica-install 에 직접 추가합니다.
    # ipa-replica-install --principal admin --admin-password admin_password
ipaservers 호스트 그룹에 클라이언트 추가
ipaservers 의 멤버십은 시스템에 권한 있는 사용자 자격 증명과 유사한 권한을 부여합니다. 사용자의 자격 증명을 제공할 필요가 없습니다.
클라이언트가 아닌 시스템에 복제 설치
IdM 도메인에 아직 등록되지 않은 시스템에서 실행하는 경우 ipa-replica-install 은 먼저 시스템을 클라이언트로 등록한 다음 복제본 구성 요소를 설치합니다.
이 상황에서 복제본을 설치하려면 다음 중 하나를 선택합니다.
권한 있는 사용자의 자격 증명 제공
기본 권한 있는 사용자는 admin 입니다. 인증 정보를 제공하려면 주 이름과 암호를 ipa-replica-install 에 직접 추가합니다.
# ipa-replica-install --principal admin --admin-password admin_password
클라이언트에 임의의 암호를 제공
복제본을 설치하기 전에 서버에서 임의의 암호를 생성해야 합니다. 설치하는 동안 사용자의 자격 증명을 제공하지 않아도 됩니다.
기본적으로 복제본은 클라이언트 설치 프로그램에서 검색한 첫 번째 IdM 서버에 대해 설치됩니다. 특정 서버에 대해 복제본을 설치하려면 ipa-replica-install 에 다음 옵션을 추가합니다.
  • 서버의 정규화된 도메인 이름(FQDN)에 대한 --server
  • IdM DNS 도메인의 --domain
ipa-replica-install을 사용하여 사용 사례에 맞게 복제 구성
옵션 없이 실행하는 경우 ipa-replica-install 은 기본 서버 서비스만 설정합니다. DNS 또는 CA(인증 기관)와 같은 추가 서비스를 설치하려면 ipa-replica-install 에 옵션을 추가합니다.
주의
두 개 이상의 서버에 CA 서비스를 설치하는 것이 좋습니다. CA 서비스를 포함한 초기 서버 복제 설치에 대한 자세한 내용은 4.5.4절. “CA를 사용하여 복제본 설치” 을 참조하십시오.
CA를 하나의 서버에만 설치하는 경우 CA 서버가 실패할 경우 복구 가능성 없이 CA 구성을 손실할 수 있습니다. 자세한 내용은 B.2.6절. “손실된 CA 서버 복구” 을 참조하십시오.
주요 옵션을 사용하여 복제본을 설치하는 시나리오의 예는 다음을 참조하십시오.
사용자 지정 값으로 LDIF 파일의 경로를 지정하여 --dirsrv-config-file 매개변수를 사용하여 기본 Directory Server 설정을 변경할 수도 있습니다. 자세한 내용은 Red Hat Enterprise Linux 7.3 릴리스 노트에서 서버 또는 복제본 설치 중에 개별 디렉터리 서버 옵션 설정을 지원하는 IdM 을 참조하십시오.
복제본을 구성하는 데 사용되는 옵션의 전체 목록은 ipa-replica-install(1) 도움말 페이지를 참조하십시오.

4.5.1. 호스트 키 탭을 사용하여 클라이언트 승격

이 프로세스에서 기존 IdM 클라이언트는 고유한 호스트 키탭을 사용하여 승격을 승인하도록 복제로 승격됩니다.
이 절차에서는 관리자 또는 DM(Directory Manager) 자격 증명을 제공하지 않아도 됩니다. 따라서 중요한 정보가 명령줄에 노출되지 않으므로 더 안전합니다.
  1. 기존 서버에서 다음을 수행합니다.
    1. 관리자로 로그인합니다.
      $ kinit admin
    2. ipaservers 호스트 그룹에 클라이언트 시스템을 추가합니다.
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers 의 멤버십은 관리자의 자격 증명과 유사한 권한을 시스템에 부여합니다.
  2. 클라이언트에서 ipa-replica-install 유틸리티를 실행합니다.
    # ipa-replica-install
  3. 복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.2. 임의 암호를 사용하여 복제본 설치

이 절차에서는 IdM 클라이언트가 아닌 시스템에 처음부터 복제본이 설치됩니다. 등록을 승인하기 위해 하나의 클라이언트 등록에만 유효한 클라이언트별 임의 암호를 사용합니다.
이 절차에서는 관리자 또는 DM(Directory Manager) 자격 증명을 제공하지 않아도 됩니다. 따라서 중요한 정보가 명령줄에 노출되지 않으므로 더 안전합니다.
  1. 기존 서버에서 다음을 수행합니다.
    1. 관리자로 로그인합니다.
      $ kinit admin
    2. 새 시스템을 IdM 호스트로 추가합니다. ipa host-add 명령과 함께 --random 옵션을 사용하여 복제본 설치에 사용할 임의의 일회성 암호를 생성합니다.
      $ ipa host-add client.example.com --random
      --------------------------------------------------
      Added host "client.example.com"
      --------------------------------------------------
        Host name: client.example.com
        Random password: W5YpARl=7M.n
        Password: True
        Keytab: False
        Managed by: server.example.com
      시스템을 IdM 도메인에 등록하는 데 사용한 후 생성된 암호가 유효하지 않습니다. 등록이 완료되면 적절한 호스트 키탭으로 바뀝니다.
    3. ipaservers 호스트 그룹에 시스템을 추가합니다.
      $ ipa hostgroup-add-member ipaservers --hosts client.example.com
        Host-group: ipaservers
        Description: IPA server hosts
        Member hosts: server.example.com, client.example.com
      -------------------------
      Number of members added 1
      -------------------------
      ipaservers 의 멤버십은 필요한 서버 서비스를 설정하는 데 필요한 시스템에 높은 권한을 부여합니다.
  2. 복제본을 설치할 시스템에서 ipa-replica-install 을 실행하고 --password 옵션을 사용하여 임의의 암호를 제공합니다. 종종 특수 문자가 포함되어 있으므로 암호를 작은따옴표(')로 묶습니다.
    # ipa-replica-install --password 'W5YpARl=7M.n'
  3. 복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.3. DNS를 사용하여 복제본 설치

이 절차는 아직 IdM 도메인에 포함되지 않은 시스템과 클라이언트에 복제본을 설치하는 데 효과적입니다. 자세한 내용은 4.5절. “복제 생성: 소개” 을 참조하십시오.
  1. 다음 옵션을 사용하여 ipa-replica-install 을 실행합니다.
    • DNS 영역이 없는 경우 --setup-dns 를 사용하여 DNS 영역을 생성하고 복제를 DNS 서버로 구성합니다.
    • 전달자 사용하지 않으려면 전달자를 지정하거나 --no-forwarder 를 지정합니다.
      페일오버를 위해 여러 전달자를 지정하려면 --forwarder 를 여러 번 사용합니다.
    예를 들어 다음과 같습니다.
    # ipa-replica-install --setup-dns --forwarder 192.0.2.1
    참고
    ipa-replica-install 유틸리티는 --no-reverse 또는 --no-host-dns 와 같은 여러 DNS 설정과 관련된 여러 옵션을 허용합니다. 이에 대한 자세한 내용은 ipa-replica-install(1) 매뉴얼 페이지를 참조하십시오.
  2. DNS가 활성화된 초기 서버를 사용하여 만든 경우 올바른 DNS 항목을 사용하여 복제본이 자동으로 생성됩니다. 항목을 통해 IdM 클라이언트에서 새 서버를 검색할 수 있습니다.
    초기 서버에 DNS를 활성화하지 않은 경우 DNS 레코드를 수동으로 추가합니다. 다음 DNS 레코드는 도메인 서비스에 필요합니다.
    • _ldap._tcp
    • _kerberos._tcp
    • _kerberos._udp
    • _kerberos-master._tcp
    • _kerberos-master._udp
    • _ntp._udp
    • _kpasswd._tcp
    • _kpasswd._udp
    이 예제에서는 항목이 있는지 확인하는 방법을 보여줍니다.
    1. DOMAIN 및 NAMESERVER 변수에 적절한 값을 설정합니다.
      # DOMAIN=example.com
      # NAMESERVER=replica
    2. 다음 명령을 사용하여 DNS 항목을 확인합니다.
      # for i in _ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp ; do
      dig @${NAMESERVER} ${i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority
      done | egrep "^_"
      
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server1.example.com.
      _ldap._tcp.example.com. 86400     IN    SRV     0 100 389 server2.example.com.
      _kerberos._tcp.example.com. 86400 IN    SRV     0 100 88  server1.example.com.
      ...
  3. 상위 도메인에서 IdM DNS 도메인에 DNS 위임을 추가합니다. 예를 들어 IdM DNS 도메인이 ipa.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.
    중요
    IdM DNS 서버가 설치될 때마다 이 단계를 반복해야 합니다.
  4. 선택 사항이지만 권장 사항입니다. 복제본을 사용할 수 없는 경우 수동으로 다른 DNS 서버를 백업 서버로 추가합니다. 33.11.1절. “추가 이름 서버 설정” 참조하십시오. 이 방법은 새 복제본이 IdM 도메인의 첫 번째 DNS 서버인 경우 특히 권장됩니다.
  5. 복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.4. CA를 사용하여 복제본 설치

이 절차는 아직 IdM 도메인에 포함되지 않은 시스템과 클라이언트에 복제본을 설치하는 데 효과적입니다. 자세한 내용은 4.5절. “복제 생성: 소개” 을 참조하십시오.
  1. --setup-ca 옵션을 사용하여 ipa-replica-install 을 실행합니다.
    [root@replica ~]# ipa-replica-install --setup-ca
  2. setup -ca 옵션은 서버의 IdM CA가 루트 CA인지 아니면 외부 CA로 종속되었는지 여부에 관계없이 초기 서버의 구성에서 CA 구성을 복사합니다.
    참고
    지원되는 CA 구성에 대한 자세한 내용은 2.3.2절. “사용할 CA 구성 결정” 을 참조하십시오.
  3. 복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.5.5. CA 없이 서버에서 복제본 설치

이 절차는 아직 IdM 도메인에 포함되지 않은 시스템과 클라이언트에 복제본을 설치하는 데 효과적입니다. 자세한 내용은 4.5절. “복제 생성: 소개” 을 참조하십시오.
중요
자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.
  1. ipa-replica-install 을 실행하고 다음 옵션을 추가하여 필요한 인증서 파일을 제공합니다.
    • --dirsrv-cert-file
    • --dirsrv-pin
    • --http-cert-file
    • --http-pin
    이러한 옵션을 사용하여 제공되는 파일에 대한 자세한 내용은 2.3.6절. “CA 없는 상태에서 설치” 을 참조하십시오.
    예를 들어 다음과 같습니다.
    [root@replica ~]# ipa-replica-install \
        --dirsrv-cert-file /tmp/server.crt \
        --dirsrv-cert-file /tmp/server.key \
        --dirsrv-pin secret \
        --http-cert-file /tmp/server.crt \
        --http-cert-file /tmp/server.key \
        --http-pin secret
    참고
    ca -cert-file 옵션을 추가하지 마십시오. ipa-replica-install 유틸리티는 마스터 서버에서 인증서 정보의 이 부분을 자동으로 가져옵니다.
  2. 복제 중인 IdM 서버에 Active Directory 신뢰가 있는 경우 선택적으로 복제본을 신뢰 에이전트 또는 신뢰 컨트롤러로 설정합니다. 자세한 내용은 Windows 통합 가이드 의 신뢰 컨트롤러 및 신뢰 에이전트 를 참조하십시오.

4.6. 새 복제 테스트

복제본을 생성한 후 복제가 예상대로 작동하는지 확인하려면 다음을 수행하십시오.
  1. 서버 중 하나에서 사용자를 생성합니다.
    [admin@server1 ~]$ ipa user-add test_user --first=Test --last=User
  2. 사용자가 다른 서버에 표시되는지 확인합니다.
    [admin@server2 ~]$ ipa user-show test_user

4.7. 복제 설치 제거

III 부. 관리: 서버 관리

이 부분에서는 Identity Management 도메인의 서버 및 서버 간 복제 관리와 같은 관리 관련 주제를 다룹니다. Identity Management 토폴로지에 대한 세부 정보를 제공하며 시스템의 Identity Management 패키지를 업데이트하는 방법에 대한 지침을 제공합니다. 또한 이 부분에서는 Identity Management 배포에 영향을 미치는 재해가 발생할 경우 ID 관리 시스템을 수동으로 백업 및 복원하는 방법을 설명합니다. 마지막 장은 다양한 내부 액세스 제어 메커니즘에 대해 자세히 설명합니다.

5장. IdM 서버 및 서비스 관리의 기본 사항

이 장에서는 IdM 서버 및 서비스를 관리하는 데 사용할 수 있는 ID 관리 명령줄 및 UI 툴에 대해 설명합니다. 여기에는 IdM 인증 방법이 포함됩니다.

5.1. IdM 서버 시작 및 중지

Directory Server, CA(인증 기관), DNS, Kerberos 등을 비롯한 IdM 서버와 함께 다양한 서비스가 설치됩니다. ipactl 유틸리티를 사용하여 설치된 모든 서비스와 함께 전체 IdM 서버를 중지, 시작 또는 다시 시작합니다.
전체 IdM 서버를 시작하려면 다음을 수행합니다.
# ipactl start
전체 IdM 서버를 중지하려면 다음을 수행합니다.
# ipactl stop
전체 IdM 서버를 다시 시작하려면 다음을 수행합니다.
# ipactl restart
개별 서비스만 중지, 시작 또는 다시 시작하려면 시스템 관리자 가이드에 설명된 systemctl 유틸리티를 사용합니다. 예를 들어 systemctl 을 사용하여 개별 서비스를 관리하는 것은 Directory Server 동작을 사용자 정의할 때 유용합니다. 구성 변경에는 Directory Server 인스턴스를 다시 시작해야 하지만 모든 IdM 서비스를 다시 시작할 필요는 없습니다.
중요
여러 IdM 도메인 서비스를 다시 시작하려면 항상 ipactl 를 사용할 것을 권장합니다. IdM 서버와 함께 설치된 서비스 간 종속성 때문에 해당 서비스가 시작되고 중지된 순서가 중요합니다. ipactl 유틸리티를 사용하면 서비스가 적절한 순서로 시작되고 중지됩니다.

5.2. Kerberos를 사용하여 IdM에 로그인

IdM은 Kerberos 프로토콜을 사용하여 SSO(Single Sign-On)를 지원합니다. Kerberos를 사용하면 사용자가 올바른 사용자 이름과 암호만 제공하면 되며 시스템에서 자격 증명을 다시 요청하지 않고 IdM 서비스에 액세스할 수 있습니다.
기본적으로 IdM 도메인의 멤버인 시스템만 Kerberos를 사용하여 IdM에 인증할 수 있습니다. 그러나 Kerberos 인증을 위해 외부 시스템을 구성할 수도 있습니다. 자세한 내용은 5.4.4절. “웹 UI로 Kerberos 인증을 위한 외부 시스템 구성” 을 참조하십시오.
kinit사용
명령줄에서 IdM에 로그인하려면 kinit 유틸리티를 사용합니다.
참고
kinit 를 사용하려면>- <5-workstation 패키지가 설치되어 있어야 합니다.
사용자 이름을 지정하지 않고 실행하면 kinit 가 로컬 시스템에 현재 로그인한 사용자의 사용자 이름으로 IdM에 로그인합니다. 예를 들어 로컬 시스템에서 local_user 로 로그인한 경우 kinit 를 실행하면 local_user IdM 사용자로 인증합니다.
[local_user@server ~]$ kinit
Password for local_user@EXAMPLE.COM:
참고
로컬 사용자의 사용자 이름이 IdM의 사용자 항목과 일치하지 않으면 인증 시도가 실패합니다.
다른 IdM 사용자로 로그인하려면 필요한 사용자 이름을 매개 변수로 kinit 유틸리티에 전달합니다. 예를 들어 admin 사용자로 로그인하려면 다음을 수행합니다.
[local_user@server ~]$ kinit admin
Password for admin@EXAMPLE.COM:
자동으로 Kerberos 티켓 얻기
IdM 클라이언트 시스템의 데스크탑 환경에 성공적으로 로그인한 후 PAM(pluggable authentication module) 및 SSSD는 사용자의 TGT를 자동으로 가져오도록 구성할 수 있습니다. 이렇게 하면 로그인 후 사용자가 kinit 를 실행할 필요가 없습니다.
SSSD에 ID 및 인증 공급자로 IdM이 구성된 IdM 시스템에서는 사용자가 해당 Kerberos 주체 이름으로 로그인한 후 SSSD가 TGT를 자동으로 가져옵니다.
iPXE _krb5 구성에 대한 자세한 내용은 pam_krb5(8) 매뉴얼 페이지를 참조하십시오. PAM에 대한 일반 정보는 시스템 수준 인증 가이드 를 참조하십시오.
여러 Kerberos 티켓 저장
기본적으로 Kerberos는 로그인된 사용자당 하나의 티켓만 인증 정보 캐시에 저장합니다. 사용자가 kinit 를 실행할 때마다 Kerberos는 현재 저장된 티켓을 새 티켓으로 덮어씁니다. 예를 들어 kinit 를 사용하여 user_A 로 인증하는 경우, user_B 로 다시 인증한 후 user_A 의 티켓이 손실됩니다.
사용자에 대한 다른 TGT를 가져와 저장하려면 이전 캐시의 콘텐츠를 덮어쓰지 않도록 다른 자격 증명 캐시를 설정합니다. 다음 두 가지 방법 중 하나로 이 작업을 수행할 수 있습니다.
  • 내보내기 KRB5CCNAME=path_to_different_cache 명령을 실행한 다음 kinit 를 사용하여 티켓을 가져옵니다.
  • kinit -c path_to_different_cache 명령을 실행한 다음 KRB5CCNAME 변수를 재설정합니다.
기본 인증 정보 캐시에 저장된 원래 TGT를 복원하려면 다음을 수행합니다.
  1. kdestroy 명령을 실행합니다.
  2. unset $KRB5CCNAME 명령을 사용하여 기본 인증 정보 캐시 위치를 복원합니다.
현재 로그인 사용자 확인 중
현재 저장 및 인증에 사용되는 TGT를 확인하려면 klist 유틸리티를 사용하여 캐시된 티켓을 나열합니다. 다음 예에서 캐시에는 user_A 의 티켓이 포함되어 있습니다. 즉, 현재 user_A 만 IdM 서비스에 액세스할 수 있습니다.
$ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: user_A@EXAMPLE.COM

Valid starting     	Expires            	Service principal
11/10/2015 08:35:45  	11/10/2015 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

5.3. IdM 명령줄 유틸리티

IdM의 기본 명령줄 스크립트는 ipa 라고 합니다. ipa 스크립트는 여러 하위 명령을 위한 상위 스크립트입니다. 그런 다음 이러한 하위 명령을 사용하여 IdM을 관리합니다. 예를 들어 ipa user-add 명령은 새 사용자를 추가합니다.
$ ipa user-add user_name
명령줄 관리는 UI의 관리에 비해 특정 이점이 있습니다. 예를 들어 명령줄 유틸리티를 사용하면 수동 조작 없이 일관된 방식으로 관리 작업을 자동화하고 수행할 수 있습니다. 또한 대부분의 관리 작업은 명령줄과 웹 UI에서 모두 사용할 수 있지만 일부 작업은 명령줄에서만 수행할 수 있습니다.
참고
이 섹션은 ipa 하위 명령에 대한 일반적인 개요만 제공합니다. 자세한 내용은 IdM 관리 특정 영역을 전담하는 다른 섹션에서 확인할 수 있습니다. 예를 들어 ipa 하위 명령을 사용하여 사용자 항목을 관리하는 방법에 대한 자세한 내용은 11장. 사용자 계정 관리 을 참조하십시오.

5.3.1. ipa 명령에 대한 도움말 가져오기

ipa 스크립트는 특정 하위 명령 집합: 주제 와 관련된 도움말을 표시할 수 있습니다. 사용 가능한 주제 목록을 표시하려면 ipa help topics 명령을 사용합니다.
$ ipa help topics

automember         Auto Membership Rule.
automount          Automount
caacl              Manage CA ACL rules.
...
특정 항목에 대한 도움말을 표시하려면 ipa help topic_name 명령을 사용합니다. 예를 들어, automember 항목에 대한 정보를 표시하려면 다음을 수행합니다.
$ ipa help automember

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

...

EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel
...
ipa 스크립트는 사용 가능한 ipa 명령 목록을 표시할 수도 있습니다. 이 작업을 수행하려면 ipa help 명령을 사용하십시오.
$ ipa help commands
automember-add                         Add an automember rule.
automember-add-condition               Add conditions to an automember rule.
...
개별 ipa 명령에 대한 자세한 도움말을 보려면 명령에 --help 옵션을 추가합니다. 예를 들어 다음과 같습니다.
$ ipa automember-add --help

Usage: ipa [global-options] automember-add AUTOMEMBER-RULE [options]

Add an automember rule.
Options:
  -h, --help            show this help message and exit
  --desc=STR            A description of this auto member rule
...
ipa 유틸리티에 대한 자세한 내용은 ipa(1) 도움말 페이지를 참조하십시오.

5.3.2. 값 목록 설정

IdM은 항목 속성을 목록에 저장합니다. 예를 들어 다음과 같습니다.
ipaUserSearchFields: uid,givenname,sn,telephonenumber,ou,title
속성 목록을 업데이트할 때마다 이전 목록을 덮어씁니다. 예를 들어 이 특성만 지정하여 단일 특성을 추가하려는 시도는 이전에 정의한 전체 목록을 단일 새 속성으로 대체합니다. 따라서 속성 목록을 변경할 때 전체 업데이트 목록을 지정해야 합니다.
IdM은 다음과 같은 속성 목록을 제공하는 방법을 지원합니다.
  • 동일한 명령 호출 내에서 동일한 명령줄 인수를 여러 번 사용합니다. 예를 들어 다음과 같습니다.
    $ ipa permission-add --permissions=read --permissions=write --permissions=delete
  • 목록을 중괄호로 묶어 쉘에서 확장을 수행할 수 있습니다. 예를 들어 다음과 같습니다.
    $ ipa permission-add --permissions={read,write,delete}

5.3.3. 특수 문자 사용

대각 대괄호(< 및 >), plusersand(&), 별표(*) 또는 수직 표시줄(|)과 같은 특수 문자가 포함된 ipa 명령에서 명령줄 인수를 전달할 때 백슬래시(\)를 사용하여 이러한 문자를 이스케이프해야 합니다. 예를 들어 별표(*)를 이스케이프하려면 다음을 수행합니다.
$ ipa certprofile-show certificate_profile --out=exported\*profile.cfg
이스케이프 처리되지 않은 특수 문자가 포함된 명령은 쉘에서 이러한 문자를 올바르게 구문 분석할 수 없기 때문에 예상대로 작동하지 않습니다.

5.3.4. IdM 항목 검색

IdM 항목 나열
ipa *-find 명령을 사용하여 특정 유형의 IdM 항목을 검색합니다. 예를 들어 다음과 같습니다.
  • 모든 사용자를 나열하려면 다음을 수행하십시오.
    $ ipa user-find
    ---------------
    4 users matched
    ---------------
      ...
  • 지정된 속성에 키워드가 포함된 사용자 그룹을 나열하려면 다음을 수행합니다.
    $ ipa group-find keyword
    ----------------
    2 groups matched
    ----------------
      ...
    사용자 및 사용자 그룹에 대한 IdM 검색 속성을 구성하려면 13.5절. “사용자 및 사용자 그룹에 대한 검색 속성 설정” 을 참조하십시오.
사용자 그룹을 검색할 때 검색 결과를 특정 사용자를 포함하는 그룹으로 제한할 수도 있습니다.
$ ipa group-find --user=user_name
특정 사용자가 포함되지 않은 그룹을 검색할 수도 있습니다.
$ ipa group-find --no-user=user_name
Particular Entry에 대한 세부 정보 표시
ipa *-show 명령을 사용하여 특정 IdM 항목에 대한 세부 정보를 표시합니다. 예를 들어 다음과 같습니다.
$ ipa host-show server.example.com
 Host name: server.example.com
 Principal name: host/server.example.com@EXAMPLE.COM
 ...
5.3.4.1. 검색 크기 및 시간 제한 조정
사용자 목록을 보는 등의 일부 검색 결과는 매우 많은 항목을 반환할 수 있습니다. 이러한 검색 작업을 조정하여 ipa *-find 명령을 실행할 때 ipa user-find 명령을 실행하고 웹 UI에 해당 목록을 표시할 때 전체 서버 성능을 향상시킬 수 있습니다.
검색 크기 제한:
  • 클라이언트, IdM 명령줄 툴 또는 IdM 웹 UI에서 서버로 전송된 요청에 대해 반환된 최대 항목 수를 정의합니다.
  • 기본값: 100개 항목.
검색 시간 제한:
  • 서버가 검색 실행을 기다리는 최대 시간을 정의합니다. 검색이 이 제한에 도달하면 서버에서 검색을 중지하고 해당 시점에서 검색한 항목을 반환합니다.
  • 기본값: 2초.
값을 -1 로 설정하면 IdM이 검색할 때 제한을 적용하지 않습니다.
중요
검색 크기 또는 시간 제한을 너무 높게 설정하면 서버 성능에 부정적인 영향을 줄 수 있습니다.
웹 UI: 검색 크기 및 시간 제한 조정
모든 쿼리에 대해 제한을 전역적으로 조정하려면 다음을 수행합니다.
  1. IPA 서버 구성을선택합니다.
  2. Search Options (검색 옵션) 영역에서 필요한 값을 설정합니다.
  3. 페이지 상단에서 저장 을 클릭합니다.
명령줄: 검색 크기 및 시간 제한 조정
모든 쿼리에 대해 전역적으로 제한을 조정하려면 ipa config-mod 명령을 사용하고 --search recordsslimit--searchtimelimit 옵션을 추가합니다. 예를 들어 다음과 같습니다.
$ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5
명령줄에서 특정 쿼리의 제한만 조정할 수도 있습니다. 이렇게 하려면 명령에 --sizelimit 또는 --timelimit 옵션을 추가합니다. 예를 들어 다음과 같습니다.
$ ipa user-find --sizelimit=200 --timelimit=120
중요
search records slimit 또는 --searchtimelimit 옵션과 함께 ipa config-mod 명령을 사용하여 크기 또는 시간 제한을 조정하면 ipa user-find 와 같은 ipa명령에서 반환한 항목 수에 영향을 미칩니다.
이러한 제한 외에도 Directory Server 수준에서 구성된 설정도 고려되며 더 엄격한 제한을 적용할 수 있습니다. Directory Server 제한에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오.

5.4. IdM 웹 UI

ID 관리 웹 UI는 IdM 관리를 위한 웹 애플리케이션입니다. ipa 명령줄 유틸리티의 대부분의 기능이 있습니다. 따라서 사용자는 UI 또는 명령줄에서 IdM을 관리할지 여부를 선택할 수 있습니다.
참고
로그인한 사용자가 사용할 수 있는 관리 작업은 사용자의 액세스 권한에 따라 달라집니다. 관리자 및 관리 권한이 있는 다른 사용자에게는 모든 관리 작업을 사용할 수 있습니다. 일반 사용자의 경우 자체 사용자 계정과 관련된 제한된 작업 집합만 사용할 수 있습니다.

5.4.1. 지원되는 웹 브라우저

Identity Management는 웹 UI 연결에 대해 다음과 같은 브라우저를 지원합니다.
  • Mozilla Firefox 38 이상
  • Google Chrome 46 이상

5.4.2. 웹 UI 액세스 및 인증

웹 UI는 IdM 서버 및 클라이언트 시스템에서 물론 IdM 도메인 외부의 시스템에서도 액세스할 수 있습니다. 그러나 도메인이 아닌 시스템에서 UI에 액세스하려면 IdM Kerberos 도메인에 연결할 수 있도록 non-IdM 시스템을 구성해야 합니다. 자세한 내용은 5.4.4절. “웹 UI로 Kerberos 인증을 위한 외부 시스템 구성” 을 참조하십시오.
5.4.2.1. 웹 UI 액세스
웹 UI에 액세스하려면 IdM 서버 URL을 브라우저 주소 표시줄에 입력합니다.
https://server.example.com
브라우저에서 IdM 웹 UI 로그인 화면이 열립니다.

그림 5.1. 웹 UI 로그인 화면

웹 UI 로그인 화면
5.4.2.2. 사용 가능한 로그인 방법
사용자는 다음과 같은 방법으로 웹 UI에 인증할 수 있습니다.
활성 Kerberos 티켓 사용
kinit 유틸리티를 사용하여 가져온 유효한 TGT가 있는 경우 로그인을 클릭하면 사용자를 자동으로 인증합니다. Kerberos 인증을 지원하려면 브라우저를 올바르게 구성해야 합니다.
Kerberos TGT 가져오기에 대한 자세한 내용은 5.2절. “Kerberos를 사용하여 IdM에 로그인” 을 참조하십시오. 브라우저 구성에 대한 자세한 내용은 5.4.3절. “Kerberos 인증을 위한 브라우저 구성” 을 참조하십시오.
사용자 이름 및 암호 지정
사용자 이름과 암호를 사용하여 인증하려면 웹 UI 로그인 화면에서 사용자 이름과 암호를 입력합니다.
IdM은 또한 일회성 암호(OTP) 인증을 지원합니다. 자세한 내용은 22.3절. “1회용 암호” 의 내용을 참조하십시오.
스마트 카드 사용
자세한 내용은 23.6절. “스마트 카드를 사용하여 ID 관리 웹 UI 인증” 의 내용을 참조하십시오.
사용자가 성공적으로 인증되면 IdM 관리 창이 열립니다.

그림 5.2. IdM 웹 UI 레이아웃

IdM 웹 UI 레이아웃
5.4.2.3. 웹 UI 세션 길이
사용자가 사용자 이름과 암호를 사용하여 IdM 웹 UI에 로그인하면 세션 길이는 로그인 작업 중에 가져온 Kerberos 티켓의 만료 기간과 동일합니다.
5.4.2.4. AD 사용자로 IdM 웹 UI에 인증
AD(Active Directory) 사용자는 사용자 이름과 암호를 사용하여 IdM 웹 UI에 로그인할 수 있습니다. 웹 UI에서 AD 사용자는 관리 권한과 관련된 관리 작업을 수행할 수 있는 IdM 사용자와 달리 자신의 사용자 계정과 관련된 제한된 작업 집합만 수행할 수 있습니다.
AD 사용자에 대한 웹 UI 로그인을 활성화하려면 IdM 관리자가 Default Trust View에서 각 AD 사용자에 대한 ID 재정의를 정의해야 합니다. 예를 들어 다음과 같습니다.
[admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com
AD의 ID 뷰에 대한 자세한 내용은 Windows 통합 가이드 의 Active Directory 환경에서 ID 보기 사용을 참조하십시오.

5.4.3. Kerberos 인증을 위한 브라우저 구성

Kerberos 자격 증명을 사용하여 인증을 활성화하려면 IdM 도메인에 액세스하기 위한 Kerberos 협상을 지원하도록 브라우저를 구성해야 합니다. Kerberos 인증을 위해 브라우저가 올바르게 구성되지 않은 경우 IdM 웹 UI 로그인 화면에서 로그인을 클릭하면 오류 메시지가 표시됩니다.

그림 5.3. Kerberos 인증 오류

Kerberos 인증 오류
Kerberos 인증용 브라우저를 다음 세 가지 방법으로 구성할 수 있습니다.
  • IdM 웹 UI에서 자동으로 실행. 이 옵션은 Firefox에서만 사용할 수 있습니다. 자세한 내용은 “웹 UI에서 자동 Firefox 구성” 을 참조하십시오.
  • IdM 클라이언트 설치 중에 명령줄에서 자동으로 수행됩니다. 이 옵션은 Firefox에서만 사용할 수 있습니다. 자세한 내용은 “명령줄에서 Firefox 설정 자동” 을 참조하십시오.
  • Firefox 구성 설정에서 수동으로 다음을 수행합니다. 이 옵션은 지원되는 모든 브라우저에 사용할 수 있습니다. 자세한 내용은 “수동 브라우저 설정” 을 참조하십시오.
참고
시스템 수준 인증 가이드 에는 Firefox Kerberos 구성 문제 해결이 포함되어 있습니다. Kerberos 인증이 예상대로 작동하지 않는 경우 이 문제 해결 가이드에서 자세한 정보를 참조하십시오.
웹 UI에서 자동 Firefox 구성
IdM 웹 UI에서 Firefox를 자동으로 구성하려면 다음을 수행합니다.
  1. 웹 UI 로그인 화면에서 브라우저 구성에 대한 링크를 클릭합니다.
  2. Firefox 구성 링크를 선택하여 Firefox 구성 페이지를 엽니다.
  3. Firefox 구성 페이지의 단계를 따릅니다.
명령줄에서 Firefox 설정 자동
Firefox는 IdM 클라이언트 설치 중에 명령줄에서 구성할 수 있습니다. 이렇게 하려면 ipa-client-install 유틸리티를 사용하여 IdM 클라이언트를 설치할 때 --configure-firefox 옵션을 사용합니다.
# ipa-client-install --configure-firefox
configure -firefox 옵션은 SSO(Single Sign-On)에 대해 Kerberos를 활성화하는 기본 Firefox 설정을 사용하여 글로벌 구성 파일을 생성합니다.
수동 브라우저 설정
브라우저를 수동으로 구성하려면 다음을 수행합니다.
  1. 웹 UI 로그인 화면에서 브라우저 구성에 대한 링크를 클릭합니다.
  2. 수동 브라우저 구성에 사용할 링크를 선택합니다.
  3. 브라우저를 구성하는 지침을 찾고 단계를 따르십시오.

5.4.4. 웹 UI로 Kerberos 인증을 위한 외부 시스템 구성

IdM 도메인의 멤버가 아닌 시스템에서 웹 UI에 대한 Kerberos 인증을 활성화하려면 외부 시스템에서 IdM 관련 Kerberos 구성 파일을 정의해야 합니다. 외부 시스템에서 Kerberos 인증을 활성화하는 것은 인프라에 여러 영역 또는 겹치는 도메인이 포함된 경우 특히 유용합니다.
Kerberos 설정 파일을 생성하려면 다음을 수행합니다.
  1. IdM 서버에서 외부 시스템으로 /etc/krb5.conf 파일을 복사합니다. 예를 들어 다음과 같습니다.
    # scp /etc/krb5.conf root@externalmachine.example.com:/etc/krb5_ipa.conf
    주의
    외부 시스템의 기존> -<5.conf 파일을 덮어쓰지 마십시오.
  2. 외부 시스템에서 복사된 IdM Kerberos 구성 파일을 사용하도록 터미널 세션을 설정합니다.
    $ export KRB5_CONFIG=/etc/krb5_ipa.conf
  3. 5.4.3절. “Kerberos 인증을 위한 브라우저 구성” 에 설명된 대로 외부 시스템에서 브라우저를 구성합니다.
외부 시스템의 사용자는 kinit 유틸리티를 사용하여 IdM 서버 도메인에 대해 인증할 수 있습니다.

5.4.5. 웹 UI에서 프록시 서버 및 포트 전달

프록시 서버를 사용하여 웹 UI에 액세스하는 경우 IdM의 추가 구성이 필요하지 않습니다.
IdM 서버를 통해 포트 전달이 지원되지 않습니다. 그러나 프록시 서버를 사용할 수 있기 때문에 OpenSSH 및 uuidKS 옵션을 통해 프록시 전달을 사용하여 포트 전달과 유사한 작업을 구성할 수 있습니다. ssh 유틸리티의 -D 옵션을 사용하여 구성할 수 있습니다. -D 를 사용하는 방법에 대한 자세한 내용은 ssh(1) 도움말 페이지를 참조하십시오.

6장. 복제 토폴로지 관리

이 장에서는 IdM(Identity Management) 도메인에서 서버 간 복제를 관리하는 방법을 설명합니다.
참고
이 장에서는 Red Hat Enterprise Linux 7.3에 도입된 간단한 토폴로지 관리에 대해 설명합니다. 절차에는 도메인 수준 1이 필요합니다( 7장. 도메인 수준 표시 및 승격참조).
도메인 수준 0에서 토폴로지 관리에 대한 설명서는 D.3절. “복제 및 복제 계약 관리” 을 참조하십시오.
초기 복제 및 복제에 대한 기본 정보를 설치하는 방법에 대한 자세한 내용은 4장. ID 관리 복제본 설치 및 제거 을 참조하십시오.

6.1. 복제 계약, 토폴로지 번들 및 토폴로지 세그먼트 설명

복제 계약
IdM 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성되어 있으면 해당 데이터를 공유합니다.
복제 계약은 항상 최신 상태가 됩니다. 데이터는 첫 번째 복제본에서 다른 복제본에서 첫 번째 복제본에서 첫 번째 복제본으로 복제됩니다.
참고
자세한 내용은 4.1절. “IdM 복제 설명” 의 내용을 참조하십시오.
토폴로지 Suffixes
토폴로지 접미사 는 복제된 데이터를 저장합니다. IdM은 domainca의 두 가지 유형의 토폴로지 접미사를 지원합니다. 각 접미사는 별도의 백엔드인 별도의 복제 토폴로지를 나타냅니다.
복제 계약이 구성되면 두 개의 다른 서버에서 동일한 유형의 두 토폴로지 접미사가 결합합니다.
domain suffix: dc=example,dc=com
domain suffix에는 모든 도메인 관련 데이터가 포함되어 있습니다.
두 복제본의 domain 접미사 간 복제 계약이 있는 경우 사용자, 그룹 및 정책과 같은 디렉터리 데이터를 공유합니다.
ca suffix: o=ipaca
ca 접미사에는 인증서 시스템 구성 요소에 대한 데이터가 포함되어 있습니다. CA(인증 기관)가 설치된 서버에만 존재합니다.
두 복제본의 ca 접미사 간에 복제 계약이 있는 경우 인증서 데이터를 공유합니다.

그림 6.1. 토폴로지 Suffixes

토폴로지 Suffixes
초기 토폴로지 세그먼트는 새 복제본을 설치할 때 ipa-replica-install 스크립트를 통해 두 서버 간에 설정됩니다.

예 6.1. Topology Suffixes 보기

ipa topologysuffix-find 명령은 토폴로지 접미사 목록을 표시합니다.
$ ipa topologysuffix-find
---------------------------
2 topology suffixes matched
---------------------------
  Suffix name: ca
  Managed LDAP suffix DN: o=ipaca

  Suffix name: domain
  Managed LDAP suffix DN: dc=example,dc=com
----------------------------
Number of entries returned 2
----------------------------
토폴로지 세그먼트
두 복제본에 접미사 간 복제 계약이 있는 경우 접미사가 토폴로지 세그먼트 를 형성합니다. 각 토폴로지 세그먼트는 왼쪽 노드오른쪽 노드로 구성됩니다. 노드는 복제 계약에 포함된 서버를 나타냅니다.
IdM의 토폴로지 세그먼트는 항상 양방향입니다. 각 세그먼트는 서버 A에서 서버 B, 서버 A에 이르는 두 개의 복제 계약을 나타냅니다. 따라서 데이터는 두 방향으로 복제됩니다.

그림 6.2. 토폴로지 세그먼트

토폴로지 세그먼트

예 6.2. 토폴로지 세그먼트 보기

ipa topologysegment-find 명령은 도메인 또는 CA 접미사에 대해 구성된 현재 토폴로지 세그먼트를 표시합니다. 예를 들어 도메인 접미사의 경우 다음을 수행합니다.
$ ipa topologysegment-find
Suffix name: domain
-----------------
1 segment matched
-----------------
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both
----------------------------
Number of entries returned 1
----------------------------
이 예에서 도메인 관련 데이터는 server1.example.comserver1.example.com 의 두 서버 간에만 복제됩니다.
특정 세그먼트에 대한 세부 정보만 표시하려면 ipa topologysegment-show 명령을 사용합니다.
$ ipa topologysegment-show
Suffix name: domain
Segment name: server1.example.com-to-server2.example.com
  Segment name: server1.example.com-to-server2.example.com
  Left node: server1.example.com
  Right node: server2.example.com
  Connectivity: both

6.2. 웹 UI: 토폴로지 그래프를 사용하여 복제 토폴로지 관리

토폴로지 그래프 액세스
웹 UI의 토폴로지 그래프는 도메인의 서버 간 관계를 보여줍니다.
  1. IPA 서버토폴로지토폴로지그래프 를 선택합니다.
  2. 그래프에 즉시 반영되지 않는 토폴로지를 변경하는 경우 새로 고침을 클릭합니다.
토폴로지 보기 사용자 지정
마우스를 드래그하여 개별 토폴로지 노드를 이동할 수 있습니다.

그림 6.3. 토폴로지 그래프 노드 이동

토폴로지 그래프 노드 이동
마우스 wheel을 사용하여 토폴로지 그래프를 확대하고 축소할 수 있습니다.

그림 6.4. 토폴로지 그래프 확대

토폴로지 그래프 확대
왼쪽 마우스 버튼을 눌러 토폴로지 그래프의 캔버스를 이동할 수 있습니다.

그림 6.5. 토폴로지 그래프 캔버스 이동

토폴로지 그래프 캔버스 이동
토폴로지 그래프 해석
도메인 복제 계약에 조인된 서버는 주황색 화살표로 연결됩니다. CA 복제 계약에 조인된 서버는 파란색 화살표로 연결됩니다.
토폴로지 그래프 예: 권장 토폴로지
그림 6.6. “권장 토폴로지 예” 4개의 서버에 대해 권장되는 토폴로지 중 하나를 보여줍니다. 각 서버는 두 개 이상의 다른 서버에 연결되어 있으며 둘 이상의 서버는 CA 마스터입니다.

그림 6.6. 권장 토폴로지 예

권장 토폴로지 예
토폴로지 그래프 예: 권장되지 않는 토폴로지
그림 6.7. “권장되지 않는 토폴로지 예: 단일 장애 지점” 에서 server1 은 단일 장애 지점입니다. 다른 모든 서버에는 이 서버와의 복제 계약이 있지만 다른 서버와는 적용되지 않습니다. 따라서 server1 이 실패하면 다른 모든 서버가 격리됩니다.
이와 같은 토폴로지를 만들지 마십시오.

그림 6.7. 권장되지 않는 토폴로지 예: 단일 장애 지점

권장되지 않는 토폴로지 예: 단일 장애 지점
토폴로지 권장 사항에 대한 자세한 내용은 4.2절. “복제본에 대한 배포 고려 사항” 을 참조하십시오.

6.2.1. 두 서버 간에 복제 설정

  1. 토폴로지 그래프에서 서버 노드 중 하나에 마우스를 가져갑니다.

    그림 6.8. 도메인 또는 CA 옵션

    도메인 또는 CA 옵션
  2. 생성할 토폴로지 세그먼트 유형에 따라 도메인 또는 원의 ca 부분을 클릭합니다.
  3. 새 복제 계약을 나타내는 새로운 화살표가 마우스 포인터 아래에 표시됩니다. 마우스를 다른 서버 노드로 이동하고 클릭합니다.

    그림 6.9. 새 세그먼트 생성

    새 세그먼트 생성
  4. 토폴로지 세그먼트 추가 창에서 추가 를 클릭하여 새 세그먼트의 속성을 확인합니다.
IdM은 두 서버 사이에 새 토폴로지 세그먼트를 생성하여 복제 계약에 참여합니다. 토폴로지 그래프에 업데이트된 복제 토폴로지가 표시됩니다.

그림 6.10. 새로 생성된 세그먼트

새로 생성된 세그먼트

6.2.2. 두 서버 간 복제 중지

  1. 제거하려는 복제 계약을 나타내는 화살표를 클릭합니다. 이는 화살표를 강조 표시합니다.

    그림 6.11. 토폴로지 강조 표시

    토폴로지 강조 표시
  2. 삭제를 클릭합니다.
  3. 확인 창에서 확인을 클릭합니다.
IdM은 두 서버 간의 토폴로지 세그먼트를 제거하여 복제 연결을 삭제합니다. 토폴로지 그래프에 업데이트된 복제 토폴로지가 표시됩니다.

그림 6.12. 토폴로지 세그먼트 삭제

토폴로지 세그먼트 삭제

6.3. 명령줄: ipa 토폴로지* 명령을 사용하여 토폴로지 관리

6.3.1. 토폴로지 관리 명령에 대한 도움말 가져오기

복제 토폴로지를 관리하는 데 사용되는 모든 명령을 표시하려면 다음을 수행합니다.
$ ipa help topology
특정 명령에 대한 자세한 도움말을 표시하려면 --help 옵션을 사용하여 실행합니다.
$ ipa topologysuffix-show --help

6.3.2. 두 서버 간에 복제 설정

  1. ipa topologysegment-add 명령을 사용하여 두 서버의 토폴로지 세그먼트를 생성합니다. 메시지가 표시되면 다음을 입력합니다.
    • 필요한 토폴로지 접미사: domain 또는 ca
      참고
      ca 접미사 사이에서 세그먼트를 생성하려면 두 서버에 CA가 설치되어 있어야 합니다. 26.8절. “기존 IdM 도메인에 CA 설치” 참조하십시오.
    • 두 서버를 나타내는 왼쪽 노드와 올바른 노드
    • 선택적으로 세그먼트에 대한 사용자 정의 이름
    예를 들어 다음과 같습니다.
    $ ipa topologysegment-add
    Suffix name: domain
    Left node: server1.example.com
    Right node: server2.example.com
    Segment name [server1.example.com-to-server2.example.com]: new_segment
    ---------------------------
    Added segment "new_segment"
    ---------------------------
      Segment name: new_segment
      Left node: server1.example.com
      Right node: server2.example.com
      Connectivity: both
    새 세그먼트를 추가하면 복제 연결의 서버에 참여합니다.
  2. 선택 사항입니다. ipa topologysegment-show 명령을 사용하여 새 세그먼트가 구성되어 있는지 확인합니다.
    $ ipa topologysegment-show
    Suffix name: domain
    Segment name: new_segment
      Segment name: new_segment
      Left node: server1.example.com
      Right node: server2.example.com
      Connectivity: both

6.3.3. 두 서버 간 복제 중지

  1. 복제를 중지하려면 서버 간에 해당 복제 세그먼트를 삭제해야 합니다. 이를 위해서는 세그먼트 이름을 알아야 합니다.
    이름을 모르는 경우 ipa topologysegment-find 명령을 사용하여 모든 세그먼트를 표시하고 출력에서 필요한 세그먼트를 찾습니다. 메시지가 표시되면 필요한 토폴로지 접미사( domain 또는 ca )를 입력합니다. 예를 들어 다음과 같습니다.
    $ ipa topologysegment-find
    Suffix name: domain
    ------------------
    8 segments matched
    ------------------
      Segment name: new_segment
      Left node: server1.example.com
      Right node: server2.example.com
      Connectivity: both
    
    ...
    
    ----------------------------
    Number of entries returned 8
    ----------------------------
  2. ipa topologysegment-del 명령을 사용하여 두 서버에 가입하는 토폴로지 세그먼트를 제거합니다.
    $ ipa topologysegment-del
    Suffix name: domain
    Segment name: new_segment
    -----------------------------
    Deleted segment "new_segment"
    -----------------------------
    세그먼트를 삭제하면 복제 연결이 제거됩니다.
  3. 선택 사항입니다. ipa topologysegment-find 명령을 사용하여 세그먼트가 더 이상 나열되지 않는지 확인합니다.
    $ ipa topologysegment-find
    Suffix name: domain
    ------------------
    7 segments matched
    ------------------
      Segment name: server2.example.com-to-server3.example.com
      Left node: server2.example.com
      Right node: server3.example.com
      Connectivity: both
    
    ...
    
    ----------------------------
    Number of entries returned 7
    ----------------------------

6.4. 토폴로지에서 서버 제거

다음 중 하나가 적용되는 경우 IdM에서 토폴로지에서 서버를 제거하는 것을 허용하지 않습니다.
  • 제거 중인 서버는 다른 서버를 나머지 토폴로지와 연결하는 유일한 서버입니다. 이로 인해 다른 서버가 격리되어 허용되지 않습니다.
  • 제거 중인 서버는 마지막 CA 또는 DNS 서버입니다.
이러한 상황에서 시도는 오류와 함께 실패합니다. 예를 들어 명령줄에서 다음을 수행합니다.
$ ipa server-del
Server name: server1.example.com
Removing server1.example.com from replication topology, please wait...
ipa: ERROR: Server removal aborted:

Removal of 'server1.example.com' leads to disconnected topology in suffix 'domain':
Topology does not allow server server2.example.com to replicate with servers:
  server3.example.com
  server4.example.com
...

6.4.1. 웹 UI: 토폴로지에서 서버 제거

머신에서 서버 구성 요소를 제거하지 않고 토폴로지에서 서버를 제거하려면 다음을 수행합니다.
  1. IPA 서버토폴로지IPA 서버를 선택합니다.
  2. 삭제할 서버 이름을 클릭합니다.

    그림 6.13. 서버 선택

    서버 선택
  3. 서버 삭제를 클릭합니다.

6.4.2. 명령줄: 토폴로지에서 서버 제거

중요
서버를 제거하는 것은 되돌릴 수 없는 작업입니다. 서버를 제거하면 토폴로지에 다시 도입하는 유일한 방법은 시스템에 새 복제본을 설치하는 것입니다.
server1.example.com 을 제거하려면 다음을 수행합니다.
  1. 다른 서버에서 ipa server-del 명령을 실행하여 server1.example.com 을 제거합니다. 명령은 서버를 가리키는 모든 토폴로지 세그먼트를 제거합니다.
    [user@server2 ~]$ ipa server-del
    Server name: server1.example.com
    Removing server1.example.com from replication topology, please wait...
    ----------------------------------------------------------
    Deleted IPA server "server1.example.com"
    ----------------------------------------------------------
  2. server1.example.com 에서 ipa server-install --uninstall 명령을 실행하여 시스템에서 서버 구성 요소를 제거합니다.
    [root@server1 ~]# ipa server-install --uninstall

6.5. 서버 역할 관리

IdM 서버에 설치된 서비스를 기반으로 다양한 서버 역할을 수행할 수 있습니다. 예를 들어 다음과 같습니다. CA 서버, DNS 서버 또는 KRA(키 복구 기관) 서버.

6.5.1. 서버 역할 보기

웹 UI: 서버 역할 보기
지원되는 서버 역할의 전체 목록은 IPA 서버토폴로지서버역할을 참조하십시오.
  • role status absent 는 토폴로지의 서버가 역할을 수행하지 않음을 의미합니다.
  • 역할 상태가 활성화됨 은 토폴로지에서 하나 이상의 서버가 역할을 수행함을 의미합니다.

그림 6.14. 웹 UI의 서버 역할

웹 UI의 서버 역할
명령줄: 서버 역할 보기
ipa config-show 명령은 모든 CA 서버, NTP 서버 및 현재 CA 갱신 마스터를 표시합니다.
$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA NTP servers: server1.example.com, server2.example.com, server3.example.com
  IPA CA renewal master: server1.example.com
ipa server-show 명령은 특정 서버에서 활성화된 역할 목록을 표시합니다. 예를 들어 server.example.com에서 활성화된 역할 목록은 다음과 같습니다.
$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole 은 특정 서버 역할이 활성화된 모든 서버를 검색합니다. 예를 들어 모든 CA 서버를 검색하려면 다음을 수행합니다.
$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------

6.5.2. 마스터 CA 서버로 복제 승격

참고
이 섹션에서는 도메인 수준 1에서 CA 갱신 마스터 변경에 대해 설명합니다( 7장. 도메인 수준 표시 및 승격참조). 도메인 수준 0에서 CA 갱신 마스터 변경에 대한 자세한 내용은 D.4절. “마스터 CA 서버로 복제 승격” 을 참조하십시오.
IdM 배포에서 임베디드 CA(인증 기관)를 사용하는 경우 IdM CA 서버 중 하나가 마스터 CA 역할을 합니다. CA 하위 시스템의 인증서 갱신을 관리하고 CRL(인증서 폐기 목록)을 생성합니다. 기본적으로 마스터 CA는 시스템 관리자가 ipa-server-install 또는 ipa-ca-install 명령을 사용하여 CA 역할을 설치한 첫 번째 서버입니다.
마스터 CA 서버를 오프라인으로 사용하거나 해제하려는 경우 다른 CA 서버를 새 CA 갱신 마스터로 대체하도록 승격합니다.
  1. CA 하위 시스템 인증서 갱신을 처리하도록 복제본을 구성합니다.
  2. CRL을 생성하도록 복제본을 구성합니다. 6.5.2.2절. “CRL을 생성하는 서버 변경” 참조하십시오.
  3. 이전 마스터 CA 서버를 해제하기 전에 새 마스터가 제대로 작동하는지 확인합니다. 6.5.2.3절. “새 마스터 CA 서버가 올바르게 구성되었는지 확인” 참조하십시오.
6.5.2.1. 현재 CA 갱신 마스터 변경
웹 UI: 현재 CA 갱신 마스터 변경
  1. IPA 서버 구성을선택합니다.
  2. IPA CA 갱신 마스터 필드에서 새 CA 갱신 마스터를 선택합니다.
명령줄: 현재 CA 갱신 마스터 변경
ipa config-mod --ca-renewal-master-server 명령을 사용합니다.
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com
출력에서 업데이트가 성공했음을 확인합니다.
6.5.2.2. CRL을 생성하는 서버 변경
CRL(인증서 폐기 목록)을 생성하는 서버를 변경하려면 다음을 수행합니다.
  1. 현재 CRL 생성 마스터를 모르는 경우 각 IdM 인증 기관(CA)에서 ipa-crlgen-manage status 명령을 사용하여 CRL 생성이 활성화되어 있는지 여부를 확인합니다.
    # ipa-crlgen-manage status
    CRL generation: enabled
  2. 현재 CRL 생성 마스터에서 기능을 비활성화합니다.
    # ipa-crlgen-manage disable
  3. 새 CRL 생성 마스터로 구성하려는 다른 CA 호스트에서 기능을 활성화합니다.
    # ipa-crlgen-manage enable
6.5.2.3. 새 마스터 CA 서버가 올바르게 구성되었는지 확인
새 마스터 CA 서버에 /var/lib/ipa/pki-ca/publish/MasterCRL.bin 파일이 있는지 확인합니다.
파일은 ca.crl.MasterCRL.autoUpdateInterval 매개변수를 사용하여 /etc/pki/pki-tomcat/ca/CS.cfg 파일에 정의된 시간 간격을 기반으로 생성됩니다. 기본값은 240분(4시간)입니다.
참고
ca.crl.MasterCRL.autoUpdateInterval 매개변수를 업데이트하면 다음 이미 예약된 CRL 업데이트 후에 변경 사항이 적용됩니다.
파일이 있는 경우 새 마스터 CA 서버가 올바르게 구성되고 이전 CA 마스터 시스템을 안전하게 거부할 수 있습니다.

6.5.3. IdM 서버에서 IdM CA 서비스 설치 제거

Red Hat은 토폴로지에서 CA 역할이 있는 최대 4개의 IdM(Identity Management) 복제본을 사용하는 것이 좋습니다. 따라서 중복 인증서 복제로 인해 이러한 복제본 및 성능 문제가 4개 이상 있는 경우 IdM 복제본에서 중복 CA 서비스 인스턴스를 제거합니다. 이렇게 하려면 CA 서비스 없이 IdM을 다시 설치하기 전에 먼저 영향을 받는 IdM 복제본을 완전히 해제해야 합니다.
중요
IdM 복제본에 CA 역할을 추가할 수 있지만 IdM은 IdM 복제본에서 CA 역할만 제거하는 방법을 제공하지 않습니다. ipa-ca-install 명령에 --uninstall 옵션이 없습니다.
  1. 중복 CA 서비스를 식별하고 이 서비스를 호스팅하는 IdM 복제본의 2.4절. “IdM 서버 설치 제거” 의 절차를 따릅니다.
  2. 동일한 호스트에서 사용 사례에 따라 2.3.5절. “외부 CA를 루트 CA로 사용하여 서버 설치” 또는 2.3.6절. “CA 없는 상태에서 설치” 의 절차를 따르십시오.

6.5.4. Hidden Replicas의 데모 및 프로모션

복제본이 설치되면 복제본이 숨겨진지 표시되었는지 여부를 변경할 수 있습니다.
  • 표시되는 복제본을 숨겨진 복제본에 인증하려면 다음을 수행합니다.
    1. 복제본이 CA 갱신 마스터인 경우 서비스를 다른 복제본으로 이동합니다. 자세한 내용은 6.5.2.1절. “현재 CA 갱신 마스터 변경” 의 내용을 참조하십시오.
    2. 복제본 상태를 숨겨진 상태로 변경합니다.
      # ipa server-state replica.idm.example.com --state=hidden
  • 숨겨진 복제본을 표시되는 복제본으로 승격하려면 다음을 입력합니다.
    # ipa server-state replica.idm.example.com --state=enabled
참고
숨겨진 복제본 기능은 Red Hat Enterprise Linux 7.7 이상에서 기술 프리뷰로 제공되므로 지원되지 않습니다.

7장. 도메인 수준 표시 및 승격

도메인 수준은 IdM 토폴로지에서 사용할 수 있는 작업 및 기능을 나타냅니다.
도메인 수준 1
사용 가능한 기능의 예:
중요
도메인 수준 1은 Red Hat Enterprise Linux 7.3 및 IdM 버전 4.4에서 도입되었습니다. 도메인 수준 1 기능을 사용하려면 모든 복제본이 Red Hat Enterprise Linux 7.3 이상을 실행해야 합니다.
첫 번째 서버가 Red Hat Enterprise Linux 7.3과 함께 설치된 경우 도메인의 도메인 수준이 자동으로 1로 설정됩니다.
모든 서버를 이전 버전에서 IdM 버전 4.4로 업그레이드하는 경우 도메인 수준이 자동으로 표시되지 않습니다. 도메인 수준 1 기능을 사용하려면 7.2절. “도메인 수준 향상” 에 설명된 대로 도메인 수준을 수동으로 높입니다.
도메인 수준 0
사용 가능한 기능의 예:
  • ipa-replica-install 을 사용하려면 초기 서버에서 복제본 정보 파일을 생성하여 복제에 복사하는 복잡한 프로세스가 필요합니다( D.2절. “복제 생성”참조).
  • ipa-replica-manageipa-csreplica-manage 를 사용하여 보다 복잡하고 error-prone 토폴로지 관리 ( D.3절. “복제 및 복제 계약 관리”참조)

7.1. 현재 도메인 수준 표시

명령줄: 현재 도메인 수준 표시
  1. 관리자로 로그인합니다.
    $ kinit admin
  2. ipa domainlevel-get 명령을 실행합니다.
    $ ipa domainlevel-get
    -----------------------
    Current domain level: 0
    -----------------------
웹 UI: 현재 도메인 수준 표시
IPA 서버토폴로지도메인 수준을 선택합니다.

7.2. 도메인 수준 향상

중요
되돌릴 수 없는 작업입니다. 도메인 수준을 0 에서 1 로 올리면 다시 1 에서 0 으로 다운그레이드할 수 없습니다.
명령줄: 도메인 수준 향상
  1. 관리자로 로그인합니다.
    $ kinit admin
  2. ipa domainlevel-set 명령을 실행하고 필요한 수준을 제공합니다.
    $ ipa domainlevel-set 1
    -----------------------
    Current domain level: 1
    -----------------------
웹 UI: 도메인 수준 향상
  1. IPA 서버토폴로지도메인 수준을 선택합니다.
  2. Set Domain Level 을 클릭합니다.

8장. Identity Management 업데이트 및 마이그레이션

8.1. Identity Management 업데이트

yum 유틸리티를 사용하여 시스템의 Identity Management 패키지를 업데이트할 수 있습니다.
주의
업데이트를 설치하기 전에 RHEL 시스템과 관련된 이전에 릴리스된 모든 에라타를 적용해야 합니다. 자세한 내용은 How do I apply package updates to my RHEL system에서 참조하십시오. KCS 문서.
또한 7.3과 같은 새로운 마이너 Red Hat Enterprise Linux 버전을 사용할 수 있는 경우 yum 은 Identity Management 서버 또는 클라이언트를 이 버전으로 업그레이드합니다.
참고
이 섹션에서는 Red Hat Enterprise Linux 6에서 Red Hat Enterprise Linux 7로 ID 관리 마이그레이션에 대해 설명하지 않습니다. 마이그레이션하려면 8.2절. “Red Hat Enterprise Linux 6에서 버전 7으로 ID 관리 마이그레이션” 을 참조하십시오.

8.1.1. ID 관리 업데이트 고려 사항

  • 하나 이상의 서버에서 ID 관리 패키지를 업데이트한 후 토폴로지의 다른 모든 서버는 패키지를 업데이트하지 않아도 업데이트된 스키마를 받습니다. 이렇게 하면 새 스키마를 사용하는 새 항목을 다른 서버에 복제할 수 있습니다.
  • Identity Management 패키지 다운그레이드는 지원되지 않습니다.
    중요
    ipa-* 패키지에서 yum downgrade 명령을 실행하지 마십시오.
  • Red Hat은 다음 버전으로만 업그레이드할 것을 권장합니다. 예를 들어 Red Hat Enterprise Linux 7.4의 ID 관리로 업그레이드하려면 Red Hat Enterprise Linux 7.3용 Identity Management에서 업그레이드할 것을 권장합니다. 이전 버전에서 업그레이드하면 문제가 발생할 수 있습니다.

8.1.2. yum 을 사용하여 ID 관리 패키지 업데이트

서버 또는 클라이언트의 모든 ID 관리 패키지를 업데이트하려면 다음을 수행합니다.
# yum update ipa-*
주의
Identity Management 서버를 여러 개 업그레이드하는 경우 각 업그레이드 사이에 10분 이상 기다립니다.
두 개 이상의 서버가 동시에 업그레이드되거나 업그레이드 간에 짧은 간격으로 업그레이드되면 토폴로지 전체에서 사후 업그레이드 데이터 변경 사항을 복제할 시간이 없으므로 복제 이벤트가 충돌할 수 있습니다.
관련 정보
중요
CVE-2014-3566 으로 인해 mod_nss 모듈에서 SSLv3(Secure Socket Layer 버전 3) 프로토콜을 비활성화해야 합니다. 다음 단계를 수행하여 확인할 수 있습니다.
  1. /etc/httpd/conf.d/nss.conf 파일을 편집하고 NSSProtocol 매개변수를 TLSv1.0 (이전 버전 호환성을 위해), TLSv1.1TLSv1.2 로 설정합니다.
    NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2
  2. httpd 서비스를 다시 시작합니다.
    # systemctl restart httpd.service
Red Hat Enterprise Linux 7의 Identity Management는 기본 패키지를 업그레이드하기 위해 yum update ipa-* 명령을 시작할 때 위의 단계를 자동으로 수행합니다.

8.2. Red Hat Enterprise Linux 6에서 버전 7으로 ID 관리 마이그레이션

다음 절차에서는 Red Hat Enterprise Linux 6 Identity Management에서 Red Hat Enterprise Linux 7 서버로 모든 데이터 및 구성을 마이그레이션하는 방법을 설명합니다. 마이그레이션 절차에는 다음이 포함됩니다.
  • Red Hat Enterprise Linux 6 기반 인증 기관(CA) 마스터 서버를 Red Hat Enterprise Linux 7로 마이그레이션.
  • 모든 서비스를 새로운 Red Hat Enterprise Linux 7 서버로 전환. 이러한 서비스에는 CRL 및 인증서 생성, DNS 관리 또는 Kerberos KDC 관리가 포함됩니다.
  • 원래 Red Hat Enterprise Linux 6 CA 마스터 폐기.
다음 절차에서는 다음을 수행합니다.
  • rhel7.example.com 은 새 CA 마스터가 될 Red Hat Enterprise Linux 7 시스템입니다.
    중요
    현재 지원되는 유일한 마이너 버전은 RHEL 7.9입니다. 시스템에 RHEL 7.9가 설치되어 있는지 확인합니다.
  • rhel6.example.com 은 원래 Red Hat Enterprise Linux 6 CA 마스터입니다.
    참고
    마스터 CA 서버인 Red Hat Enterprise Linux 6 서버를 식별하려면 certmonger 서비스가 renew_ca_cert 명령을 추적하는 서버를 결정합니다. 모든 Red Hat Enterprise Linux 6 서버에서 다음 명령을 실행하십시오.
    [root@rhel6 ~]# getcert list -d /var/lib/pki-ca/alias -n "subsystemCert cert-pki-ca" | grep post-save
    post-save command: /usr/lib64/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"
    renew_ca_cert 를 실행하는 후 저장 작업은 CA 마스터에 대해서만 정의됩니다.

8.2.1. Red Hat Enterprise Linux 6에서 7로 ID 관리를 마이그레이션하기 위한 필수 조건

  • rhel6.example.com 시스템을 최신 Red Hat Enterprise Linux 6 버전으로 업데이트합니다.
  • rhel6.example.com 시스템에서 ipa-* 패키지를 업그레이드합니다.
    [root@rhel6 ~]# yum update ipa-*
    또한 이 단계에서는 bind-dyndb-ldap 패키지의 2.3-6.el6_6 버전을 제공하는 RHBA-2015:0231-2 권고를 적용했으며 Red Hat Enterprise Linux 6.6 Extended Update Support (EUS)에서 사용할 수 있습니다.
    주의
    이전 버전의 bind-dyndb-ldap 를 사용하면 Red Hat Enterprise Linux 6.6 DNS 서버와 Red Hat Enterprise Linux 7 DNS 서버 간에 제공되는 DNS 전달 영역에서 일관되지 않은 동작이 발생합니다.
  • rhel7.example.com 시스템이 2.1절. “서버 설치 사전 요구 사항”4.3절. “복제본 설치 사전 요구 사항” 의 요구 사항을 충족하는지 확인합니다.
  • rhel7.example.com 시스템에서 필요한 패키지를 설치합니다. 2.2절. “IdM 서버 설치에 필요한 패키지” 참조하십시오.

8.2.2. Red Hat Enterprise Linux 6에서 ID 관리 스키마 업데이트

copy-schema-to-ca.py 스키마 업데이트 스크립트는 rhel7.example.com 복제본 설치를 위해 rhel6.example.com 을 준비합니다. ID 관리 버전 3.1 이상 버전 간의 스키마 변경으로 인해 스키마를 업데이트해야 합니다.
  1. rhel7.example.com 시스템에서 rhel6.example.com 시스템으로 copy-schema-to-ca.py 스키마 업데이트 스크립트를 복사합니다. 예를 들어 다음과 같습니다.
    [root@rhel7 ~]# scp /usr/share/ipa/copy-schema-to-ca.py root@rhel6:/root/
  2. rhel6.example.com 에서 업데이트된 copy-schema-to-ca.py 스크립트를 실행합니다.
    [root@rhel6 ~]# python copy-schema-to-ca.py
    ipa         : INFO     Installed /etc/dirsrv/slapd-PKI-IPA//schema/60kerberos.ldif
    [... output truncated ...]
    ipa         : INFO     Schema updated successfully
  3. Red Hat Enterprise Linux 7 복제본에 연결하기 전에 인증 기관을 실행하는 모든 Red Hat Enterprise Linux 6 IdM 복제본에서 단계를 반복합니다.

8.2.3. Red Hat Enterprise Linux 7 Replica 설치

  1. rhel6.example.com 시스템에서 rhel7.example.com 복제본을 설치하는 데 사용할 복제본 파일을 생성합니다. 예를 들어 IP 주소가 192.0.2.1rhel7.example.com 의 복제본 파일을 생성하려면 다음을 수행합니다.
    [root@rhel6 ~]# ipa-replica-prepare rhel7.example.com --ip-address 192.0.2.1
    
    Directory Manager (existing master) password:
    Preparing replica for rhel7.example.com from rhel6.example.com
    [... output truncated ...]
    The ipa-replica-prepare command was successful
  2. rhel6.example.com 의 복제본 정보 파일을 rhel7.example.com 에 복사합니다.
    [root@rhel6 ~]# scp /var/lib/ipa/replica-info-replica.example.com.gpg root@rhel7:/var/lib/ipa/
  3. Red Hat Enterprise Linux 7.6 이상에 통합 CA를 사용하여 새 복제본을 설치하는 경우 /etc/httpd/conf.d/nss.conf 파일의 NSSCipherSuite 매개변수 끝에 다음 항목을 추가합니다.
    +ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha
    Red Hat Enterprise Linux 7.6 이상에서는 IdM CA에서 특정 암호가 더 이상 기본적으로 활성화되어 있지 않습니다. 이 항목을 구성에 추가하지 않고 Red Hat Enterprise Linux 7.6에서 통합된 CA가 있는 IdM 서버를 Red Hat Enterprise Linux 6에서 실행되는 마스터 복제본으로 설정하면 CRITICAL에 CA 인스턴스 오류를 설정하지 못했습니다.
  4. 복제본 파일을 사용하여 rhel7.example.com 복제본을 설치합니다. 예를 들어 다음 명령은 이러한 옵션을 사용합니다.
    • 인증서 시스템 구성 요소를 설정하려면 --setup-ca
    • 통합 DNS 서버를 구성하고 forwarder를 설정하려면 --setup-dns 및 --forwarder
    • --IP-address: rhel7.example.com 시스템의 IP 주소를 지정
    [root@rhel7 ~]# ipa-replica-install /var/lib/ipa/replica-info-rhel7.example.com.gpg --setup-ca --ip-address 192.0.2.1 --setup-dns --forwarder 192.0.2.20
    Directory Manager (existing master) password:
    
    Checking DNS forwarders, please wait ...
    Run connection check to master
    [... output truncated ...]
    Client configuration complete.
    또한 다음을 참조하십시오.
  5. Identity Management 서비스가 rhel7.example.com 에서 실행 중인지 확인합니다.
    [root@rhel7 ~]# ipactl status
    Directory Service: RUNNING
    [... output truncated ...]
    ipa: INFO: The ipactl command was successful

8.2.4. Red Hat Enterprise Linux 7 서버로 CA 서비스 전환

시작하기 전에:
  • rhel6.example.comrhel7.example.com CA가 모두 마스터 서버로 구성되어 있는지 확인합니다.
    [root@rhel7 ~]$ kinit admin
    [root@rhel7 ~]$ ipa-csreplica-manage list
    rhel6.example.com: master
    rhel7.example.com: master
    복제 연결에 대한 세부 정보를 표시하려면 다음을 수행합니다.
    [root@rhel7 ~]# ipa-csreplica-manage list --verbose rhel7.example.com
    rhel7.example.com
    last init status: None
    last init ended: 1970-01-01 00:00:00+00:00
    last update status: Error (0) Replica acquired successfully: Incremental update succeeded
    last update ended: 2017-02-13 13:55:13+00:00
rhel6.example.com 원래 마스터 CA에서 CA 하위 시스템 인증서 갱신을 중지합니다.
  1. 원래 CA 인증서에 대한 추적을 비활성화합니다.
    [root@rhel6 ~]# getcert stop-tracking -d /var/lib/pki-ca/alias -n "auditSigningCert cert-pki-ca"
    Request "20201127184547" removed.
    [root@rhel6 ~]# getcert stop-tracking -d /var/lib/pki-ca/alias -n "ocspSigningCert cert-pki-ca"
    Request "20201127184548" removed.
    [root@rhel6 ~]# getcert stop-tracking -d /var/lib/pki-ca/alias -n "subsystemCert cert-pki-ca"
    Request "20201127184549" removed.
    [root@rhel6 ~]# getcert stop-tracking -d /etc/httpd/alias -n ipaCert
    Request "20201127184550" removed.
  2. 새 마스터 CA에서 갱신된 인증서를 검색하도록 rhel6.example.com 을 재구성하십시오.
    1. 갱신 도우미 스크립트를 certmonger 서비스 디렉터리에 복사하고 적절한 권한을 설정합니다.
      [root@rhel6 ~]# cp /usr/share/ipa/ca_renewal /var/lib/certmonger/cas/
      [root@rhel6 ~]# chmod 0600 /var/lib/certmonger/cas/ca_renewal
    2. SELinux 구성을 업데이트합니다.
      [root@rhel6 ~]# restorecon /var/lib/certmonger/cas/ca_renewal
    3. certmonger 를 다시 시작합니다.
      [root@rhel6 ~]# service certmonger restart
    4. 인증서를 검색하도록 CA가 나열되었는지 확인합니다.
      [root@rhel6 ~]# getcert list-cas
      ...
      CA 'dogtag-ipa-retrieve-agent-submit':
              is-default: no
              ca-type: EXTERNAL
      	helper-location: /usr/libexec/certmonger/dogtag-ipa-retrieve-agent-submit
    5. CA 인증서 데이터베이스 PIN을 가져옵니다.
      [root@rhel6 ~]# grep internal= /var/lib/pki-ca/conf/password.conf
    6. 외부 갱신을 위한 인증서를 추적하도록 certmonger 를 구성합니다. 이를 위해서는 데이터베이스 PIN이 필요합니다.
      [root@rhel6 ~]# getcert start-tracking \
          -c dogtag-ipa-retrieve-agent-submit \
          -d /var/lib/pki-ca/alias \
          -n "auditSigningCert cert-pki-ca" \
          -B /usr/lib64/ipa/certmonger/stop_pkicad \
          -C '/usr/lib64/ipa/certmonger/restart_pkicad \
          "auditSigningCert cert-pki-ca"' \
          -T "auditSigningCert cert-pki-ca" \
          -P database_pin
      New tracking request "20201127184743" added.
      [root@rhel6 ~]# getcert start-tracking \
          -c dogtag-ipa-retrieve-agent-submit \
          -d /var/lib/pki-ca/alias \
          -n "ocspSigningCert cert-pki-ca" \
          -B /usr/lib64/ipa/certmonger/stop_pkicad \
          -C '/usr/lib64/ipa/certmonger/restart_pkicad \
          "ocspSigningCert cert-pki-ca"' \
          -T "ocspSigningCert cert-pki-ca" \
          -P database_pin
      New tracking request "20201127184744" added.
      [root@rhel6 ~]# getcert start-tracking \
          -c dogtag-ipa-retrieve-agent-submit \
          -d /var/lib/pki-ca/alias \
          -n "subsystemCert cert-pki-ca" \
          -B /usr/lib64/ipa/certmonger/stop_pkicad \
          -C '/usr/lib64/ipa/certmonger/restart_pkicad \
          "subsystemCert cert-pki-ca"' \
          -T "subsystemCert cert-pki-ca" \
          -P database_pin
      New tracking request "20201127184745" added.
      [root@rhel6 ~]# getcert start-tracking \
          -c dogtag-ipa-retrieve-agent-submit \
          -d /etc/httpd/alias \
          -n ipaCert \
          -C /usr/lib64/ipa/certmonger/restart_httpd \
          -T ipaCert \
          -p /etc/httpd/alias/pwdfile.txt
      New tracking request "20201127184746" added.
원래 rhel6.example.com CA 마스터에서 rhel7.example.com 으로 CRL 생성을 이동합니다.
  1. rhel6.example.com 에서 CRL 생성을 중지합니다.
    1. CA 서비스를 중지합니다.
      [root@rhel6 ~]# service pki-cad stop
    2. rhel6.example.com 에서 CRL 생성을 비활성화합니다. /var/lib/pki-ca/CS.cfg 파일을 열고 ca.crl.MasterCRL.enableCRL.enableCRL .enableCRL.enableCRLUpdates 매개변수 값을 false 로 설정합니다.
      ca.crl.MasterCRL.enableCRLCache=false
      ca.crl.MasterCRL.enableCRLUpdates=false
    3. CA 서비스를 시작합니다.
      [root@rhel6 ~]# service pki-cad start
  2. rhel6.example.com 에서 CRL 요청을 리디렉션하도록 Apache를 구성합니다.
    1. /etc/httpd/conf.d/ipa-pki-proxy.conf 파일을 열고 RewriteRule 항목의 주석을 삭제합니다.
      RewriteRule ^/ipa/crl/MasterCRL.bin https://rhel6.example.com/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL [L,R=301,NC]
      참고
      URL에서 서버 호스트 이름을 대체하지 마십시오. URL은 로컬 호스트 이름을 참조해야 합니다.
    2. Apache를 다시 시작합니다.
      [root@rhel6 ~]# service httpd restart
    IdM은 로컬 파일 대신 로컬 CA에서 인증서 해지 목록(CRL)을 가져옵니다.
  3. rhel7.example.com 에서 rhel7.example.com 을 새 CA 마스터로 구성합니다.
    1. D.4.1절. “Which Server가 인증서 갱신을 처리하는 변경” 에 설명된 대로 CA 하위 시스템 인증서 갱신을 처리하도록 rhel7.example.com 을 구성합니다.
    2. 6.5.2.2절. “CRL을 생성하는 서버 변경” 에 설명된 대로 rhel7.example.com 을 일반 인증서 취소 목록(CRL)으로 구성합니다.
관련 정보

8.2.5. Red Hat Enterprise Linux 6 Server 중지

rhel6.example.com 에서 모든 서비스를 중지하여 새 rhel7.example.com 서버에 도메인 검색을 강제 수행합니다.
[root@rhel6 ~]# ipactl stop
Stopping CA Service
Stopping pki-ca:                                           [  OK  ]
Stopping HTTP Service
Stopping httpd:                                            [  OK  ]
Stopping MEMCACHE Service
Stopping ipa_memcached:                                    [  OK  ]
Stopping DNS Service
Stopping named: .                                          [  OK  ]
Stopping KPASSWD Service
Stopping Kerberos 5 Admin Server:                          [  OK  ]
Stopping KDC Service
Stopping Kerberos 5 KDC:                                   [  OK  ]
Stopping Directory Service
Shutting down dirsrv:
    EXAMPLE-COM...                                         [  OK  ]
    PKI-IPA...                                             [  OK  ]
이 후 ipa 유틸리티를 사용하면 원격 프로시저 호출(RPC)을 통해 새 서버에 연결합니다.

8.2.6. 마스터 CA 서버를 마이그레이션한 후 다음 단계

토폴로지의 각 Red Hat Enterprise Linux 6 서버에 대해 다음을 수행합니다.
  1. rhel7.example.com 에서 복제본 파일을 생성합니다.
    참고
    Red Hat Enterprise Linux 6 서버에서 Red Hat Enterprise Linux 7 복제본을 설치한 후 Identity Management 도메인의 도메인 수준은 자동으로 0으로 설정됩니다.
    Red Hat Enterprise Linux 7.3은 복제본을 더 쉽게 설치 및 관리할 수 있는 방법을 도입했습니다. 이러한 기능을 사용하려면 토폴로지가 도메인 수준 1에 있어야 합니다. 7장. 도메인 수준 표시 및 승격 참조하십시오.
  2. 복제본 파일을 사용하여 다른 Red Hat Enterprise Linux 7 시스템에 새 복제본을 설치합니다.
Red Hat Enterprise Linux 6 서버를 해제하려면 다음을 수행합니다.
  • Red Hat Enterprise Linux 7 서버에서 제거 명령을 실행하여 토폴로지에서 서버를 제거합니다.
중요
클라이언트 구성은 자동으로 업데이트되지 않습니다. IDM 서버를 해제하고 다른 이름으로 새 서버를 구성한 경우 전체 클라이언트 구성을 검토해야 합니다. 특히 다음 파일을 수동으로 업데이트해야 합니다.
  • /etc/openldap/ldap.conf
  • /etc/ipa/default.conf
  • /etc/sssd/sssd.conf

9장. ID 관리 백업 및 복원

Red Hat Enterprise Linux Identity Management는 서버가 올바르게 수행하지 않거나 데이터 손실이 발생하는 경우와 같이 IdM 시스템을 수동으로 백업 및 복원하는 솔루션을 제공합니다. 백업 중에 시스템은 IdM 설정에 대한 정보가 포함된 디렉터리를 생성하고 저장합니다. 복원 중에 이 백업 디렉터리를 사용하여 원래 IdM 설정을 다시 가져올 수 있습니다.
중요
이 장에서 설명하는 백업 및 복원 프로시저는 나머지 복제본의 복제본으로 다시 설치하여 배포에 있는 나머지 서버에서 IdM 서버 그룹의 손실 부분을 다시 빌드할 수 없는 경우에만 사용합니다.
"Id/IPA의 백업 및 복원" 기술 자료 솔루션은 여러 서버 복제본을 유지 관리하여 손실을 방지하는 방법을 설명합니다. 백업 버전에는 일반적으로 오래되고 잠재적으로 오래된 정보가 포함되어 있으므로 동일한 데이터로 기존 복제본을 다시 빌드하는 것이 좋습니다.
백업 및 복원이 방지할 수 있는 잠재적 위협 시나리오는 다음과 같습니다.
  • 시스템에서 치명적인 하드웨어 장애가 발생하여 시스템이 추가로 작동할 수 없게 됩니다. 이 경우 다음을 수행합니다.
    1. 운영 체제를 처음부터 다시 설치합니다.
    2. 동일한 호스트 이름, FQDN(정규화된 도메인 이름) 및 IP 주소로 시스템을 구성합니다.
    3. IdM 패키지 및 원래 시스템에 있는 IdM과 관련된 기타 모든 선택적 패키지를 설치합니다.
    4. IdM 서버의 전체 백업을 복원합니다.
  • 격리된 시스템의 업그레이드가 실패합니다. 운영 체제는 계속 작동하지만 IdM 데이터가 손상되어 IdM 시스템을 알려진 양호한 상태로 복원해야 합니다.
    중요
    위에서 언급한 두 가지와 같은 하드웨어 또는 업그레이드 실패의 경우, 유일한 CA(인증 기관)와 같은 특별한 역할의 복제본 또는 복제본이 손실된 경우에만 백업에서 복원됩니다. 동일한 데이터가 있는 복제본이 계속 존재하는 경우 손실된 복제본을 삭제한 다음 나머지 복제본에서 다시 빌드하는 것이 좋습니다.
  • 예를 들어 항목과 같이 LDAP 콘텐츠에 적절하지 않은 변경이 수행되었으며 되돌리려는 경우입니다. 백업된 LDAP 데이터를 복원하면 IdM 시스템 자체에 영향을 주지 않고 LDAP 항목을 이전 상태로 반환합니다.
복원된 서버는 IdM에 대한 정보의 유일한 소스가 됩니다. 다른 마스터 서버는 복원된 서버에서 다시 초기화됩니다. 마지막 백업 후에 생성된 모든 데이터는 손실됩니다. 따라서 정상적인 시스템 유지 관리를 위해 백업 및 복원 솔루션을 사용해서는 안 됩니다. 가능한 경우 항상 복제본으로 다시 설치하여 손실된 서버를 다시 빌드합니다.
백업 및 복원 기능은 명령줄에서만 관리할 수 있으며 IdM 웹 UI에서 사용할 수 없습니다.

9.1. 전체 서버 백업 및 데이터 전용 백업

IdM은 다음 두 가지 백업 옵션을 제공합니다.
Full-IdM 서버 백업
전체 서버 백업은 모든 IdM 서버 파일과 LDAP 데이터의 백업 사본을 생성하여 독립 실행형 백업으로 만듭니다. IdM은 수백 개의 파일에 영향을 미칩니다. 백업 프로세스 사본이 구성 파일 또는 로그 파일과 같은 전체 디렉토리와 특정 파일이 혼합되어 있으며 IdM 또는 IdM이 의존하는 다양한 서비스와 직접 연결됩니다. 전체 서버 백업은 원시 파일 백업이므로 오프라인으로 수행됩니다. 전체 서버 백업을 수행하는 스크립트는 모든 IdM 서비스를 중지하여 안전한 백업 프로세스를 보장합니다.
전체 서버 백업이 복사하는 파일 및 디렉터리의 전체 목록은 9.1.3절. “백업 중에 복사된 디렉토리 및 파일 목록” 를 참조하십시오.
데이터 전용 백업
데이터 전용 백업은 LDAP 데이터 및 변경 로그의 백업 사본만 생성합니다. 프로세스는 IPA-REALM 인스턴스를 백업하고 여러 백엔드 또는 단일 백엔드만 백업할 수 있습니다. 백엔드에는 IPA 백엔드와 CA Dogtag 백엔드가 포함됩니다. 이 유형의 백업은 LDIF(LDAP 데이터 교환 형식)에 저장된 LDAP 콘텐츠 레코드도 백업합니다. 데이터 전용 백업은 온라인과 오프라인으로 모두 수행할 수 있습니다.
기본적으로 IdM은 생성된 백업을 /var/lib/ipa/backup/ 디렉터리에 저장합니다. 백업이 포함된 하위 디렉터리의 명명 규칙은 다음과 같습니다.
  • ipa-full-Yovn-MM-DD-HH-MM-SS (전체 서버 백업의 GMT 시간대의 HH-MM-SS)
  • ipa-data-Yovn-MM-DD-HH-MM-SS (데이터 전용 백업의 GMT 표준시)

9.1.1. 백업 생성

전체 서버 및 데이터 전용 백업은 항상 root로 실행해야 하는 ipa-backup 유틸리티를 사용하여 생성됩니다.
전체 서버 백업을 생성하려면 ipa-backup 을 실행합니다.
중요
프로세스가 오프라인으로 실행되어야 하므로 전체 서버 백업을 수행하면 모든 IdM 서비스가 중지됩니다. 백업이 완료되면 IdM 서비스가 다시 시작됩니다.
데이터 전용 백업을 생성하려면 ipa-backup --data 명령을 실행합니다.
ipa-backup 에 몇 가지 추가 옵션을 추가할 수 있습니다.
  • --online 은 온라인 백업을 수행합니다. 이 옵션은 데이터 전용 백업에서만 사용할 수 있습니다.
  • --logs 에는 백업에 IdM 서비스 로그 파일이 포함되어 있습니다.
ipa-backup 사용에 대한 자세한 내용은 ipa-backup(1) 매뉴얼 페이지를 참조하십시오.
9.1.1.1. 백업 중 볼륨 Insufficient Space onvolved During Backup
이 섹션에서는 IdM 백업 프로세스와 관련된 디렉터리가 사용 가능한 공간이 충분하지 않은 볼륨에 저장된 경우 문제를 해결하는 방법을 설명합니다.
/var/lib/ipa/backup/을 포함하는 볼륨의 공간이 충분하지 않습니다.
사용 가능한 공간이 충분하지 않은 볼륨에 /var/lib/ipa/backup/ 디렉터리가 저장된 경우 백업을 생성할 수 없습니다. 이 문제를 해결하려면 다음 해결 방법 중 하나를 사용하십시오.
  • 다른 볼륨에 디렉터리를 만들고 /var/lib/ipa/backup/ 에 연결합니다. 예를 들어 /home 이 충분한 여유 공간이 있는 다른 볼륨에 저장된 경우:
    1. /home/idm/backup/ 와 같은 디렉토리를 만듭니다.
      # mkdir -p /home/idm/backup/
    2. 다음 권한을 디렉터리로 설정합니다.
      # chown root:root /home/idm/backup/
      # chmod 700 /home/idm/backup/
    3. /var/lib/ipa/backup/ 에 기존 백업이 포함된 경우 새 디렉터리로 이동합니다.
      # mv /var/lib/ipa/backup/* /home/idm/backup/
    4. /var/lib/ipa/backup/ 디렉토리를 삭제합니다.
      # rm -rf /var/lib/ipa/backup/
    5. /home/idm/backup/ 디렉토리에 대한 /var/lib/ipa/backup/ 링크를 만듭니다.
      # ln -s /home/idm/backup/ /var/lib/ipa/backup/
  • 다른 볼륨에 저장된 디렉터리를 /var/lib/ipa/backup/ 에 마운트합니다. 예를 들어 /home 이 충분한 여유 공간이 있는 다른 볼륨에 저장된 경우 /home/idm/backup/ 을 생성하고 /var/lib/ipa/backup/ 에 마운트합니다.
    1. /home/idm/backup/ 디렉토리를 만듭니다.
      # mkdir -p /home/idm/backup/
    2. 다음 권한을 디렉터리로 설정합니다.
      # chown root:root /home/idm/backup/
      # chmod 700 /home/idm/backup/
    3. /var/lib/ipa/backup/ 에 기존 백업이 포함된 경우 새 디렉터리로 이동합니다.
      # mv /var/lib/ipa/backup/* /home/idm/backup/
    4. /home/idm/backup//var/lib/ipa/backup/ 에 마운트합니다.
      # mount -o bind /home/idm/backup/ /var/lib/ipa/backup/
    5. 시스템이 부팅될 때 /home/idm/backup//var/lib/ipa/backup/ 에 자동으로 마운트하려면 /etc/fstab 파일에 다음을 추가합니다.
      /home/idm/backup/     /var/lib/ipa/backup/     none     bind     0 0
/tmp를 포함하는 볼륨의 공간이 충분하지 않음
/tmp 디렉토리에서 사용 가능한 공간이 부족하여 백업이 실패하는 경우 TMPDIR 환경 변수를 사용하여 백업 중에 생성할 준비 파일의 위치를 변경합니다.
# TMPDIR=/path/to/backup ipa-backup

9.1.2. 백업 암호화

GPG(GNU Privacy Guard) 암호화를 사용하여 IdM 백업을 암호화할 수 있습니다.
GPG 키를 생성하려면 다음을 수행합니다.
  1. 키 세부 정보가 포함된 keygen 파일을 만듭니다(예: cat >keygen="EOF )을 실행하고 명령줄에서 필요한 암호화 세부 정보를 파일에 제공합니다.
    [root@server ~]# cat >keygen <<EOF
    > %echo Generating a standard key
    > Key-Type: RSA
    > Key-Length:2048
    > Name-Real: IPA Backup
    > Name-Comment: IPA Backup
    > Name-Email: root@example.com
    > Expire-Date: 0
    > %pubring /root/backup.pub
    > %secring /root/backup.sec
    > %commit
    > %echo done
    > EOF
    [root@server ~]#
  2. backup 이라는 새 키 쌍을 생성하고 keygen 의 내용을 명령에 제공합니다. 다음 예제에서는 경로 이름이 /root/backup.sec/root/backup.pub 인 키 쌍을 생성합니다.
    [root@server ~]# gpg --batch --gen-key keygen
    [root@server ~]# gpg --no-default-keyring --secret-keyring /root/backup.sec \
    		     --keyring /root/backup.pub --list-secret-keys
GPG 암호화 백업을 만들려면 다음 옵션을 제공하여 생성된 백업 키를 ipa-backup 에 전달합니다.
  • --GP G , 암호화된 백업을 수행하기 위해 ipa-backup 에 지시합니다.
  • --GPG-keyring=GPG_KEYRING 은 파일 확장자 없이 GPG 키링에 대한 전체 경로를 제공합니다.
예를 들어 다음과 같습니다.
[root@server ~]# ipa-backup --gpg --gpg-keyring=/root/backup
참고
gpg2 유틸리티를 사용하여 GPG 키를 생성하는 경우 시스템에 외부 프로그램이 작동해야 하므로 문제가 발생할 수 있습니다. 이 경우 콘솔에서 키를 순전히 생성하려면 키를 생성하기 전에 pinentry-program /usr/bin/pinentry-curses 행을 .gnupg/gpg-agent.conf 파일에 추가하십시오.

9.1.3. 백업 중에 복사된 디렉토리 및 파일 목록

디렉터리:
/usr/share/ipa/html
/root/.pki
/etc/pki-ca
/etc/pki/pki-tomcat
/etc/sysconfig/pki
/etc/httpd/alias
/var/lib/pki
/var/lib/pki-ca
/var/lib/ipa/sysrestore
/var/lib/ipa-client/sysrestore
/var/lib/ipa/dnssec
/var/lib/sss/pubconf/krb5.include.d/
/var/lib/authconfig/last
/var/lib/certmonger
/var/lib/ipa
/var/run/dirsrv
/var/lock/dirsrv
파일:
/etc/named.conf
/etc/named.keytab
/etc/resolv.conf
/etc/sysconfig/pki-ca
/etc/sysconfig/pki-tomcat
/etc/sysconfig/dirsrv
/etc/sysconfig/ntpd
/etc/sysconfig/krb5kdc
/etc/sysconfig/pki/ca/pki-ca
/etc/sysconfig/ipa-dnskeysyncd
/etc/sysconfig/ipa-ods-exporter
/etc/sysconfig/named
/etc/sysconfig/ods
/etc/sysconfig/authconfig
/etc/ipa/nssdb/pwdfile.txt
/etc/pki/ca-trust/source/ipa.p11-kit
/etc/pki/ca-trust/source/anchors/ipa-ca.crt
/etc/nsswitch.conf
/etc/krb5.keytab
/etc/sssd/sssd.conf
/etc/openldap/ldap.conf
/etc/security/limits.conf
/etc/httpd/conf/password.conf
/etc/httpd/conf/ipa.keytab
/etc/httpd/conf.d/ipa-pki-proxy.conf
/etc/httpd/conf.d/ipa-rewrite.conf
/etc/httpd/conf.d/nss.conf
/etc/httpd/conf.d/ipa.conf
/etc/ssh/sshd_config
/etc/ssh/ssh_config
/etc/krb5.conf
/etc/ipa/ca.crt
/etc/ipa/default.conf
/etc/dirsrv/ds.keytab
/etc/ntp.conf
/etc/samba/smb.conf
/etc/samba/samba.keytab
/root/ca-agent.p12
/root/cacert.p12
/var/kerberos/krb5kdc/kdc.conf
/etc/systemd/system/multi-user.target.wants/ipa.service
/etc/systemd/system/multi-user.target.wants/sssd.service
/etc/systemd/system/multi-user.target.wants/certmonger.service
/etc/systemd/system/pki-tomcatd.target.wants/pki-tomcatd@pki-tomcat.service
/var/run/ipa/services.list
/etc/opendnssec/conf.xml
/etc/opendnssec/kasp.xml
/etc/ipa/dnssec/softhsm2.conf
/etc/ipa/dnssec/softhsm_pin_so
/etc/ipa/dnssec/ipa-ods-exporter.keytab
/etc/ipa/dnssec/ipa-dnskeysyncd.keytab
/etc/idm/nssdb/cert8.db
/etc/idm/nssdb/key3.db
/etc/idm/nssdb/secmod.db
/etc/ipa/nssdb/cert8.db
/etc/ipa/nssdb/key3.db
/etc/ipa/nssdb/secmod.db
로그 파일 및 디렉토리:
/var/log/pki-ca
/var/log/pki/
/var/log/dirsrv/slapd-PKI-IPA
/var/log/httpd
/var/log/ipaserver-install.log
/var/log/kadmind.log
/var/log/pki-ca-install.log
/var/log/messages
/var/log/ipaclient-install.log
/var/log/secure
/var/log/ipaserver-uninstall.log
/var/log/pki-ca-uninstall.log
/var/log/ipaclient-uninstall.log
/var/named/data/named.run

9.2. 백업 복원

ipa-backup 을 사용하여 생성된 백업이 있는 디렉터리가 있는 경우 IdM 서버 또는 LDAP 콘텐츠를 백업을 수행한 상태로 복원할 수 있습니다. 백업이 원래 생성된 호스트와 다른 호스트에서 백업을 복원할 수 없습니다.
참고
IdM 서버를 설치 제거해도 이 서버의 백업이 자동으로 제거되지는 않습니다.

9.2.1. 전체 서버 또는 데이터 전용 백업에서 복원

중요
전체 서버 복원을 수행하기 전에 서버를 제거하는 것이 좋습니다.
전체 서버 및 데이터 전용 백업은 항상 root로 실행해야 하는 ipa-restore 유틸리티를 사용하여 복원됩니다. 백업을 명령에 전달합니다.
  • 기본 /var/lib/ipa/backup/ 디렉토리에 있는 경우 백업이 포함된 디렉터리 이름만 전달합니다.
  • 백업이 포함된 디렉터리가 기본 디렉터리에 없는 경우 백업에 전체 경로를 전달합니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa-restore /path/to/backup
ipa-restore 유틸리티는 백업 디렉터리에 포함된 백업 유형을 자동으로 감지하고 기본적으로 동일한 유형의 복원을 수행합니다.
ipa-restore 에 다음 옵션을 추가할 수 있습니다.
  • --data 는 전체 서버 백업에서 데이터 전용 복원(즉, 전체 서버 백업이 포함된 백업 디렉터리에서 LDAP 데이터 구성 요소만 복원함)을 수행합니다.
  • --online 은 데이터 전용 복원 온라인에서 LDAP 데이터를 복원
  • --instance 는 복원되는 389 DS 인스턴스를 지정합니다. Red Hat Enterprise Linux 7의 IdM은 IPA-REALM 인스턴스만 사용하지만, 예를 들어 별도의 인스턴스가 있는 시스템에 백업을 생성할 수 있습니다. 이 경우 --instance 를 사용하면 IPA-REALM 만 복원할 수 있습니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa-restore --instance=IPA-REALM /path/to/backup
    이 옵션은 데이터 전용 복원을 수행하는 경우에만 사용할 수 있습니다.
  • --backend 는 복원되는 백엔드를 지정합니다. 이 옵션 없이 ipa-restore 는 검색한 모든 백엔드를 복원합니다. 가능한 백엔드를 정의하는 인수는 userRoot 입니다. 이 인수는 IPA 데이터 백엔드를 복원하고 CA 백엔드를 복원하는 ipaca 입니다.
    이 옵션은 데이터 전용 복원을 수행하는 경우에만 사용할 수 있습니다.
  • --no-logs 는 로그 파일을 복원하지 않고 백업을 복원합니다.
IdM 마스터에서 인증 문제를 방지하려면 복원 후 SSSD 캐시를 지웁니다.
  1. SSSD 서비스를 중지합니다.
    [root@server ~]# systemctl stop sssd
  2. SSSD에서 캐시된 컨텐츠를 모두 제거합니다.
    [root@server ~]# find /var/lib/sss/ ! -type d | xargs rm -f
  3. SSSD 서비스를 시작합니다.
    [root@server ~]# systemctl start sssd
참고
백업에서 복원한 후 시스템을 재부팅하는 것이 좋습니다.
ipa-restore 사용에 대한 자세한 내용은 ipa-restore(1) 매뉴얼 페이지를 참조하십시오.

9.2.2. 여러 마스터 서버로 복원

다중 마스터 복제 환경에서 IdM을 복원하는 방법에 대한 자세한 내용은 “IdM의 백업 및 복원” 을 참조하십시오.

9.2.3. 암호화된 백업에서 복원

GPG로 암호화된 백업에서 복원하려면 --gpg-keyring 옵션을 사용하여 개인 키 및 공개 키에 대한 전체 경로를 제공하십시오. 예를 들어 다음과 같습니다.
[root@server ~]# ipa-restore --gpg-keyring=/root/backup /path/to/backup

10장. IdM 사용자를 위한 액세스 제어 정의

액세스 제어는 머신, 서비스 또는 항목과 같은 특정 리소스에 액세스할 수 있는 사용자와 수행할 수 있는 작업 종류를 정의하는 일련의 보안 기능입니다. Identity Management는 여러 액세스 제어 영역을 제공하여 어떤 종류의 액세스 권한이 부여되고 누구에게 부여되었는지 명확하게 이해할 수 있도록 합니다. 이 과정의 일환으로 Identity Management는 도메인 내의 리소스에 대한 액세스 제어와 IdM 구성 자체에 대한 액세스 제어를 구분하는 역할을 합니다.
이 장에서는 IdM 내에 있는 사용자가 IdM 서버 및 기타 IdM 사용자에게 사용할 수 있는 다양한 내부 액세스 제어 메커니즘에 대해 자세히 설명합니다.

10.1. IdM 항목 액세스 제어

액세스 제어는 다른 사용자 또는 오브젝트에 대한 작업을 수행하도록 사용자에게 부여된 권한 또는 권한을 정의합니다.
Identity Management 액세스 제어 구조는 표준 LDAP 액세스 제어를 기반으로 합니다. IdM 서버 내의 액세스는 다른 IdM 엔티티에 액세스할 수 있는 백엔드 디렉터리 서버 인스턴스에 저장된 IdM 사용자를 기반으로 하며, 디렉터리 서버 인스턴스의 LDAP 항목으로 저장됩니다.
ACI(액세스 제어 명령)에는 다음 세 부분이 있습니다.
행위자
이 엔터티는 특정 작업을 수행할 수 있는 권한이 부여된 엔터티입니다. LDAP 액세스 제어 모델에서는 사용자가 인 사용자를 정의하고 특정 시간 또는 특정 시스템으로 시도를 제한하는 등 선택적으로 바인딩 시도에 대한 다른 제한이 필요할 수 있기 때문에 바인딩 규칙 이라고 합니다.
대상
이는 행위자가 작업을 수행할 수 있는 항목을 정의합니다.
작업 유형
작업 유형 - 마지막 부분에서는 사용자가 수행할 수 있는 작업 종류를 결정합니다. 가장 일반적인 작업은 add, delete, write, read, search입니다. Identity Management에서 모든 사용자에게 IdM 도메인의 모든 항목에 대한 읽기 및 검색 권한이 암시적으로 부여되며 암호 및 Kerberos 키와 같은 중요한 속성에 대해서만 제한이 있습니다. 익명 사용자는 sudo 규칙 및 호스트 기반 액세스 제어와 같은 보안 관련 구성이 표시되지 않도록 제한됩니다.
작업을 시도하면 IdM 클라이언트가 가장 먼저 수행하는 작업은 바인딩 작업의 일부로 사용자 자격 증명을 보내는 것입니다. 백엔드 Directory Server는 해당 사용자 자격 증명을 확인한 다음 사용자 계정을 확인하여 사용자가 요청한 작업을 수행할 수 있는 권한이 있는지 확인합니다.

10.1.1. Identity Management에서 액세스 제어 방법

액세스 제어 규칙을 간단하고 명확하게 구현하기 위해 Identity Management는 액세스 제어 정의를 세 가지 범주로 나눕니다.
셀프 서비스 규칙
셀프 서비스 규칙: 사용자가 자신의 개인 항목에 수행할 수 있는 작업을 정의합니다. 액세스 제어 유형은 항목 내의 속성에 대한 쓰기 권한만 허용합니다. 항목 자체에 대한 추가 또는 삭제 작업은 허용하지 않습니다.
위임 규칙
위임 규칙 - 특정 사용자 그룹이 다른 사용자 그룹의 사용자에 대해 특정 속성에 대해 쓰기(편집) 작업을 수행할 수 있도록 합니다. 셀프 서비스 규칙과 마찬가지로 이 형태의 액세스 제어 규칙은 특정 특성의 값 편집으로 제한됩니다. 전체 항목을 추가 또는 제거하거나 지정되지 않은 속성에 대한 제어 권한을 부여할 수 없습니다.
역할 기반 액세스 제어
역할 기반 액세스 제어 - 특수 액세스 제어 그룹을 생성하면 IdM 도메인의 모든 유형의 엔티티에 대해 훨씬 광범위한 권한이 부여됩니다. 역할을 편집, 추가 및 삭제 권한을 부여할 수 있습니다. 즉, 선택한 특성이 아닌 전체 항목에 대한 전체 제어 권한을 부여할 수 있습니다.
일부 역할은 ID 관리 내에서 이미 생성 및 사용할 수 있습니다. 호스트, 자동 마운트 구성, 넷 그룹, DNS 설정, IdM 구성과 같은 특정 방식으로 모든 유형의 항목을 관리하기 위해 특수 역할을 생성할 수 있습니다.

10.2. 셀프 서비스 설정 정의

셀프 서비스 액세스 제어 규칙은 엔터티에서 자체적으로 수행할 수 있는 작업을 정의합니다. 이러한 규칙은 사용자(또는 기타 IdM 엔티티)가 개인 항목에서 편집할 수 있는 속성만 정의합니다.

10.2.1. 웹 UI에서 셀프 서비스 규칙 생성

  1. 상단 메뉴의 IPA Server 탭에서 역할 기반 액세스 제어셀프 서비스 권한 을 선택합니다.
  2. 셀프 서비스 액세스 제어 지침 목록의 맨 위에서 추가 를 클릭합니다.

    그림 10.1. 현재 셀프 서비스 규칙 추가

    현재 셀프 서비스 규칙 추가
  3. 팝업 창에 규칙의 이름을 입력합니다. 스페이스는 허용됩니다.

    그림 10.2. 셀프 서비스 규칙 추가 양식

    셀프 서비스 규칙 추가 양식
  4. ACI에서 사용자를 편집하도록 허용하는 속성별로 확인란을 선택합니다.
  5. Add 버튼을 클릭하여 새 셀프 서비스 ACI를 저장합니다.

10.2.2. 명령줄에서 셀프 서비스 규칙 생성

selfservice-add 명령을 사용하여 새 셀프 서비스 규칙을 추가할 수 있습니다. 다음 두 가지 옵션이 필요합니다.
  • ACI 권한 부여 - 쓰기, 추가 또는 삭제와 같은 권한을 설정하는 --permissions
  • 이 ACI에서 권한을 부여하는 속성의 전체 목록을 제공하는 --attrs.
[jsmith@server ~]$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials
-----------------------------------------------------------
Added selfservice "Users can manage their own name details"
-----------------------------------------------------------
    Self-service name: Users can manage their own name details
    Permissions: write
    Attributes: givenname, displayname, title, initials

10.2.3. 셀프 서비스 규칙 편집

웹 UI의 셀프 서비스 항목에서 편집할 수 있는 유일한 요소는 ACI에 포함된 속성 목록입니다. 확인란을 선택하거나 선택 해제할 수 있습니다.

그림 10.3. 셀프 서비스 편집 페이지

셀프 서비스 편집 페이지
명령행을 사용하면 ipa selfservice-mod 명령을 사용하여 셀프 서비스 규칙을 편집합니다. at trs 옵션은 지원되는 속성의 이전 목록이 무엇이든 덮어 쓰므로 항상 새 속성과 함께 전체 속성 목록을 포함합니다.
[jsmith@server ~]$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname
--------------------------------------------------------------
Modified selfservice "Users can manage their own name details"
--------------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials
중요
기존 항목을 포함하여 셀프 서비스 규칙을 수정할 때 모든 속성을 포함합니다.

10.3. 사용자 권한 위임

위임은 한 그룹의 사용자가 다른 사용자 그룹의 항목을 관리할 수 있는 권한이 할당된다는 점에서 역할과 매우 유사합니다. 그러나 위임된 권한은 전체 액세스의 셀프 서비스 규칙과 훨씬 더 유사하지만 전체 항목이 아닌 특정 사용자 속성에만 적용됩니다. 또한 위임된 권한의 그룹은 액세스 제어를 위해 특별히 생성된 역할 대신 기존 IdM 사용자 그룹입니다.

10.3.1. 웹 UI에서 사용자 그룹에 대한 액세스 위임

  1. 상단 메뉴의 IPA Server 탭에서 역할 기반 액세스 제어위임을 선택합니다.
  2. 위임 액세스 제어 지침 목록의 맨 위에 있는 추가 링크를 클릭합니다.

    그림 10.4. 새 위임 추가

    새 위임 추가
  3. 새 위임 ACI의 이름을 지정합니다.
  4. 지정된 속성(읽기)을 볼 수 있는 권한이 있는지 여부를 확인란을 선택하여 사용 권한을 설정하고 주어진 속성을 추가 또는 변경합니다(쓰기).
    일부 사용자는 정보를 볼 필요가 있지만 편집할 수는 없어야 합니다.
  5. 사용자 그룹 드롭다운 메뉴에서 사용자 그룹의 사용자 항목에 대한 권한이 부여된 그룹을 선택합니다.

    그림 10.5. 위임 추가 양식

    위임 추가 양식
  6. Member 사용자 그룹 드롭다운 메뉴에서 위임 그룹 멤버에서 항목을 편집할 수 있는 그룹을 선택합니다.
  7. 특성 상자에서 member 사용자 그룹이 권한이 부여되는 특성별로 확인란을 선택합니다.
  8. Add 버튼을 클릭하여 새 위임 ACI를 저장합니다.

10.3.2. 명령줄에서 사용자 그룹에 대한 액세스 위임

새로운 위임 액세스 제어 규칙이 delegation-add 명령을 사용하여 추가됩니다. 다음과 같은 세 가지 필수 인수가 있습니다.
  • --group - 사용자 그룹에 있는 사용자 항목에 대한 권한을 부여받고 있는 그룹입니다.
  • --membergroup, group w those 항목은 위임 그룹의 구성원이 편집할 수 있습니다.
  • --attrs: 멤버 그룹의 사용자가 보거나 편집할 수 있는 속성입니다.
예를 들어 다음과 같습니다.
$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering
--------------------------------------
Added delegation "basic manager attrs"
--------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber
  Member user group: engineering
  User group: engineering_managers
위임 규칙은 delegation-mod 명령을 사용하여 편집합니다. at trs 옵션은 지원되는 속성의 이전 목록이 무엇이든 덮어 쓰므로 항상 새 속성과 함께 전체 속성 목록을 포함합니다.
[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname
-----------------------------------------
Modified delegation "basic manager attrs"
-----------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber, displayname
  Member user group: engineering
  User group: engineering_managers
중요
기존 항목을 포함하여 위임 규칙을 수정할 때 모든 특성을 포함합니다.

10.4. 역할 기반 액세스 제어 정의

역할 기반 액세스 제어는 셀프 서비스 및 위임 액세스 제어에 비해 사용자에게 매우 다른 종류의 권한을 부여합니다. 역할 기반 액세스 제어는 기본적으로 관리되므로 항목을 수정할 수 있습니다.
역할 기반 액세스 제어에는 권한, 권한 , 역할 의 세 가지 부분이 있습니다. 권한은 하나 이상의 권한으로 구성되며 역할은 하나 이상의 권한으로 구성됩니다.
  • 권한은 특정 작업 또는 작업 세트(예: 읽기, 쓰기, 추가 또는 삭제)와 해당 작업이 적용되는 IdM LDAP 디렉터리 내의 대상 항목을 정의합니다. 권한은 블록을 구성합니다. 필요에 따라 여러 권한에 할당할 수 있습니다.
    IdM 권한을 사용하면 어떤 사용자가 어떤 오브젝트에 어떤 오브젝트에 액세스할 수 있는지와 해당 오브젝트의 속성을 제어할 수 있습니다. IdM을 사용하면 개별 속성을 허용 목록화하거나 블랙리스트로 지정하거나 사용자, 그룹 또는 sudo와 같은 특정 IdM 기능의 전체 가시성을 모든 익명 사용자, 인증된 사용자 또는 특정 권한 있는 사용자에게 변경할 수 있습니다. 권한에 대한 이 유연한 접근 방식은 예를 들어 관리자가 특정 섹션으로만 사용자 또는 그룹 액세스를 제한하려는 경우, 이러한 사용자나 그룹에만 액세스하고 다른 섹션을 완전히 숨기도록 하려는 시나리오에서 유용합니다.
  • 권한 은 역할에 적용할 수 있는 권한 그룹입니다. 예를 들어 자동 마운트 위치를 추가, 편집, 삭제할 수 있는 권한을 생성할 수 있습니다. 그런 다음 해당 권한을 FTP 서비스 관리와 관련된 다른 권한과 결합할 수 있으며, 파일 시스템 관리와 관련된 단일 권한을 만드는 데 사용할 수 있습니다.
    참고
    Red Hat Identity Management의 컨텍스트에서 권한이 있으면 어떤 권한과 역할이 생성되는지에 대한 원자적 액세스 제어 단위가 매우 특수한 의미를 갖습니다. Red Hat Identity Management에는 일시적으로 추가 권한을 얻는 일반 사용자의 개념으로 권한 에스컬레이션 이 존재하지 않습니다. RBAC(역할 기반 액세스 제어)를 사용하여 사용자에게 권한이 할당됩니다. 사용자는 액세스 권한을 부여하는 역할을 갖고 있거나 그렇지 않습니다.
    사용자 이외에 권한은 사용자 그룹, 호스트, 호스트 그룹 및 네트워크 서비스에도 할당됩니다. 이 방법을 사용하면 특정 네트워크 서비스를 통해 호스트 집합에서 일련의 사용자에 의한 작업을 세부적으로 제어할 수 있습니다.
  • 역할은 역할에 지정된 사용자가 소유한 권한 목록입니다.
    중요
    역할은 허용된 작업을 분류하는 데 사용됩니다. 권한 분리를 구현하거나 권한 에스컬레이션으로부터 보호하는 도구로 사용되지 않습니다.
완전히 새로운 권한을 생성하고 기존 권한 또는 새 권한을 기반으로 새 권한을 만들 수 있습니다. Red Hat Identity Management는 다음과 같은 다양한 사전 정의 역할을 제공합니다.
표 10.1. Red Hat Identity Management에서 사전 정의된 역할
Role 권한 Description
헬프데스크
사용자 수정 및 암호 재설정, 그룹 구성원 수정 간단한 사용자 관리 작업 수행을 담당합니다.
IT 보안 전문가
Netgroups 관리자, HBAC 관리자, Sudo 관리자 호스트 기반 액세스 제어, sudo 규칙 등의 보안 정책을 관리합니다.
IT 전문가
호스트 관리자, 호스트 그룹 관리자, 서비스 관리자, 자동 마운트 관리자 호스트 관리 담당
보안 설계자
위임 관리자, 복제 관리자, IPA 작성 구성, 암호 정책 관리자 ID 관리 환경 관리, 신뢰 생성, 복제 계약 생성 담당
사용자 관리자
사용자 관리자, 그룹 관리자, 사용자 관리자 단계 사용자 및 그룹 생성 담당

10.4.1. 역할

10.4.1.1. 웹 UI에서 역할 생성
  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. 역할 기반 액세스 제어 지침 목록의 맨 위에 있는 Add 링크를 클릭합니다.

    그림 10.6. 새 역할 추가

    새 역할 추가
  3. 역할 이름과 설명을 입력합니다.

    그림 10.7. 역할 추가 양식

    역할 추가 양식
  4. 추가 및 편집 버튼을 클릭하여 새 역할을 저장하고 구성 페이지로 이동합니다.
  5. Users 탭 상단에서 또는 그룹을 추가할 때 사용자 그룹 탭에서 추가를 클릭합니다.

    그림 10.8. 사용자 추가

    사용자 추가
  6. 왼쪽에서 사용자를 선택하고 > 버튼 을 사용하여 Prospective 열로 이동합니다.

    그림 10.9. 사용자 선택

    사용자 선택
  7. Privileges (권한) 탭 상단에서 Add 를 클릭합니다.

    그림 10.10. 권한 추가

    권한 추가
  8. 왼쪽에서 권한을 선택하고 &gt ; 버튼을 사용하여 Prospective 열로 이동합니다.

    그림 10.11. 권한 선택

    권한 선택
  9. Add 버튼을 클릭하여 저장합니다.
10.4.1.2. 명령줄에서 역할 생성
  1. 새 역할을 추가합니다.
    [root@server ~]# kinit admin
    [root@server ~]# ipa role-add --desc="User Administrator" useradmin
      ------------------------
      Added role "useradmin"
      ------------------------
      Role name: useradmin
      Description: User Administrator
  2. 필요한 권한을 역할에 추가합니다.
    [root@server ~]# ipa role-add-privilege --privileges="User Administrators" useradmin
      Role name: useradmin
      Description: User Administrator
      Privileges: user administrators
      ----------------------------
      Number of privileges added 1
    ----------------------------
    
  3. 필요한 그룹을 역할에 추가합니다. 이 경우 이미 존재하는 단일 그룹 useradmins 만 추가하고 있습니다.
    [root@server ~]# ipa role-add-member --groups=useradmins useradmin
      Role name: useradmin
      Description: User Administrator
      Member groups: useradmins
      Privileges: user administrators
      -------------------------
      Number of members added 1
    -------------------------
    

10.4.2. 권한

10.4.2.1. 웹 UI에서 새 권한 생성
  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. Permissions 작업 링크를 선택합니다.

    그림 10.12. 권한 작업

    권한 작업
  3. 권한 목록 상단에 있는 Add (추가) 버튼을 클릭합니다.

    그림 10.13. 새 권한 추가

    새 권한 추가
  4. 표시되는 양식에 새 권한의 속성을 정의합니다.

    그림 10.14. 권한 추가 양식

    권한 추가 양식
  5. 양식 아래의 추가 버튼을 클릭하여 권한을 저장합니다.
다음 권한 속성을 지정할 수 있습니다.
  1. 새 권한의 이름을 입력합니다.
  2. 적절한 바인딩 규칙 유형을 선택합니다.
    • 권한은 기본 권한 유형이며 권한 및 역할을 통해 액세스 권한을 부여합니다.
    • 모두 인증된 모든 사용자에게 권한이 적용되도록 지정합니다.
    • 익명 은 인증되지 않은 사용자를 포함하여 모든 사용자에게 권한이 적용되도록 지정합니다.
    참고
    기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한에 이미 있는 권한이 기본이 아닌 바인딩 규칙 유형으로 설정할 수 없습니다.
  3. 권한 부여 권한에 부여된 권한을 선택합니다.
  4. 권한의 대상 항목을 식별하는 방법을 정의합니다.
    • type은 사용자, 호스트 또는 서비스와 같은 항목 유형을 지정합니다. Type 설정 값을 선택하는 경우 해당 항목 유형에 대해 이 ACI를 통해 액세스할 수 있는 모든 가능한 속성 목록이 효과 속성 아래에 표시됩니다.
      Type 정의에서는 SubtreeTarget DN 을 사전 정의된 값 중 하나로 설정합니다.
    • sub tree 는 하위 트리를 지정합니다. 이 하위 트리 항목 아래의 모든 항목이 대상입니다. Subtree 에서 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않으므로 기존 하위 트리 항목을 제공합니다. 예를 들어 다음과 같습니다.
      cn=automount,dc=example,dc=com
    • 추가 대상 필터는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.
      (!(objectclass=posixgroup))
      IdM은 지정된 필터의 유효성을 자동으로 검사합니다. 잘못된 필터를 입력하면 IdM에서 권한을 저장하려고 시도한 후 이에 대해 경고합니다.
    • 대상 DN 은 도메인 이름(DN)을 지정하고 와일드카드를 수락합니다. 예를 들어 다음과 같습니다.
      uid=*,cn=users,cn=accounts,dc=com
    • 그룹 멤버 는 대상 필터를 지정된 그룹의 구성원으로 설정합니다.
    필터 설정을 작성하고 추가 를 클릭하면 IdM에서 필터를 검증합니다. 모든 권한 설정이 올바르면 IdM에서 검색을 수행합니다. 일부 권한 설정이 올바르지 않으면 IdM에서 잘못 설정된 설정을 알려주는 메시지를 표시합니다.
  5. Type 을 설정하는 경우 사용 가능한 ACI 특성 목록에서 효과 특성을 선택합니다. Type 을 사용하지 않은 경우 Effective attributes 필드에 작성하여 속성을 수동으로 추가합니다. 한 번에 단일 속성을 추가합니다. 속성을 여러 개 추가하려면 추가를 클릭하여 다른 입력 필드를 추가합니다.
    중요
    권한의 속성을 설정하지 않으면 기본적으로 모든 속성이 포함됩니다.
10.4.2.2. 명령줄에서 새 권한 생성
새 권한을 추가하려면 ipa permission-add 명령을 실행합니다. 해당 옵션을 제공하여 권한의 속성을 지정합니다.
  • 권한의 이름을 제공합니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa permission-add "dns admin permission"
  • --bindtype 은 바인딩 규칙 유형을 지정합니다. 이 옵션은 모든,익명, 권한 인수를 허용합니다. 예를 들어 다음과 같습니다.
    --bindtype=all
    --bindtype 을 사용하지 않으면 유형이 자동으로 기본 권한 값으로 설정됩니다.
    참고
    기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한에 이미 있는 권한이 기본이 아닌 바인딩 규칙 유형으로 설정할 수 없습니다.
  • --permissions 는 권한에서 부여한 권한을 나열합니다. 여러 --permissions 옵션을 사용하거나 중괄호 내부의 쉼표로 구분된 목록에 옵션을 나열하여 여러 속성을 설정할 수 있습니다. 예를 들어 다음과 같습니다.
    --permissions=read --permissions=write
    --permissions={read,write}
  • --attrs 는 권한이 부여된 속성 목록을 제공합니다. 여러 --attrs 옵션을 사용하거나 중괄호의 쉼표로 구분된 목록에 옵션을 나열하여 여러 속성을 설정할 수 있습니다. 예를 들어 다음과 같습니다.
    --attrs=description --attrs=automountKey
    --attrs={description,automountKey}
    --attrs 와 함께 제공되는 속성은 존재해야 하며 지정된 오브젝트 유형에 대해 속성이 허용되어야 합니다. 그렇지 않으면 명령이 스키마 구문 오류로 인해 실패합니다.
  • --type 은 사용자, 호스트 또는 서비스와 같은 항목 오브젝트 유형을 정의합니다. 각 유형에는 허용된 속성 세트가 있습니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa permission-add "manage service" --permissions=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
  • --subtree 는 하위 트리 항목을 제공합니다. 그러면 filter는 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다. --subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.
    IdM은 단순화된 플랫 디렉터리 트리 구조를 사용하므로 --subtree 를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 autoscale location과 같은 일부 유형의 항목을 대상으로 할 수 있습니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --permissions=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation
    --type--subtree 옵션은 함께 사용할 수 없습니다.
  • --filter 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. IdM은 지정된 필터의 유효성을 자동으로 검사합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다.
    [root@server ~]# ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --permissions=write --attrs=description
  • --memberOf 는 그룹이 존재하는지 확인한 후 대상 필터를 지정된 그룹의 멤버로 설정합니다. 예를 들어 다음과 같습니다.
    [root@server ~]# ipa permission-add ManageHost --permissions="write" --subtree=cn=computers,cn=accounts,dc=testrelm,dc=com --attr=nshostlocation --memberof=admins
  • --TargetGroup은 그룹이 존재하는지 확인한 후 target을 지정된 사용자 그룹으로 설정합니다.
웹 UI에서 사용할 수 있는 대상 DN 설정은 명령줄에서 사용할 수 없습니다.
참고
권한 수정 및 삭제에 대한 자세한 내용은 ipa permission-mod --helpipa permission-del --help 명령을 실행합니다.
10.4.2.3. 기본 관리 권한
관리 권한은 ID 관리와 함께 사전 설치되어 있는 권한입니다. 사용자가 생성한 다른 권한처럼 동작하며 다음과 같은 차이점이 있습니다.
  • 이름, 위치 및 대상 속성을 수정할 수 없습니다.
  • 이를 삭제할 수 없습니다.
  • 다음과 같은 세 가지 특성 집합이 있습니다.
    • IdM에서 관리하며 사용자가 수정할 수 없는 기본 속성
    • 사용자가 추가한 추가 속성입니다. 관리 권한에 포함된 속성을 추가하려면 ipa permission-mod 명령으로 -- included attrs 옵션을 제공하여 속성을 지정합니다.
    • 사용자가 삭제한 속성 제외. 관리 권한에 제외된 속성을 추가하려면 ipa permission-mod 명령으로 --excludedattrs 옵션을 제공하여 속성을 지정합니다.
관리 권한은 기본 및 포함된 속성 세트에 표시되지만 제외된 세트에는 표시되지 않는 모든 속성에 적용됩니다.
관리 권한을 수정할 때 --attrs 옵션을 사용하면 포함된 속성 및 제외된 속성이 --attrs 와 함께 제공된 속성만 활성화되도록 자동으로 조정됩니다.
참고
관리 권한을 삭제할 수는 없지만 바인딩 유형을 권한으로 설정하고 모든 권한 에서 관리 권한을 제거하면 효과적으로 비활성화됩니다.
모든 관리 권한의 이름은 시스템(예 : System )으로 시작합니다. Sudo 규칙 또는 System을 추가합니다: 서비스 수정.
이전 버전의 IdM에서는 기본 권한에 대해 다른 스키마를 사용했습니다. 예를 들어 사용자가 기본 권한을 수정하지 못하고 사용자는 권한에만 할당할 수 있습니다. 이러한 기본 권한 대부분은 관리 권한으로 변경되었지만 다음 권한은 여전히 이전 체계를 사용합니다.
  • Automember Rebuild Membership 작업 추가
  • 복제 계약 추가
  • 인증서 제거 저장
  • CA에서 인증서 상태 가져오기
  • DNA 범위 수정
  • 복제 계약 수정
  • 복제 계약 제거
  • 인증서 요청
  • 다른 호스트에서 인증서 요청
  • CA에서 인증서 검색
  • 인증서 취소
  • IPA 설정 쓰기
웹 UI에서 관리 권한을 수정하려고 하면 수정할 수 없는 속성이 비활성화됩니다.

그림 10.15. 비활성화된 속성

비활성화된 속성
명령줄에서 관리 권한을 수정하려고 하면 시스템에서 수정할 수 없는 속성을 변경할 수 없습니다. 예를 들어 기본 시스템을 변경하려고 합니다. Users 권한을 수정하는데 실패합니다.
$ ipa permission-mod 'System: Modify Users' --type=group
ipa: ERROR: invalid 'ipapermlocation': not modifiable on managed permissions
그러나 시스템을 수행할 수 있습니다. GECOS 속성에 적용되지 않도록 사용자 권한을 수정합니다.
$ ipa permission-mod 'System: Modify Users' --excludedattrs=gecos
------------------------------------------
Modified permission "System: Modify Users"
10.4.2.4. 이전 버전의 ID 관리 권한
이전 버전의 Identity Management에서는 사용 권한이 다르게 처리되었습니다. 예를 들면 다음과 같습니다.
  • 글로벌 IdM ACI는 서버의 모든 사용자에게 읽기 액세스 권한을 부여했습니다. 이 경우에도 익명의 사용자도 인증되지 않았습니다 - 사용자가 인증되지 않았습니다.
  • 쓰기, 추가 및 삭제 권한 유형만 사용할 수 있습니다. 읽기 권한도 사용할 수 있었지만 인증되지 않은 사용자를 포함한 모든 사용자가 기본적으로 읽기 액세스 권한을 가지기 때문에 실질적인 가치가 없었습니다.
현재 버전의 Identity Management에는 훨씬 더 세분화된 권한 설정 옵션이 포함되어 있습니다.
  • 글로벌 IdM ACI는 인증되지 않은 사용자에 대한 읽기 액세스 권한을 부여하지 않습니다.
  • 예를 들어 동일한 권한에 필터와 하위 트리를 모두 추가할 수 있습니다.
  • 검색 및 비교 권한을 추가할 수 있습니다.
새로운 사용 권한 처리 방식은 이전 버전과의 호환성을 유지하면서 사용자 또는 그룹 액세스를 제어하기 위한 IdM 기능을 대폭 개선했습니다. 이전 버전의 IdM에서 업그레이드하면 모든 서버에서 글로벌 IdM ACI가 삭제되고 관리 권한으로 대체됩니다.
이전 방식으로 만든 권한은 수정할 때마다 자동으로 현재 스타일로 변환됩니다. 이러한 항목을 변경하지 않으면 이전 유형의 사용 권한은 의도치 않은 상태로 유지됩니다. 권한이 현재 스타일을 사용하는 경우 이전 스타일로 다운그레이드할 수 없습니다.
참고
이전 버전의 IdM을 실행하는 서버에서 권한을 부여할 수 있습니다.
ipa 권한 표시ipa permission-find 명령은 현재 권한과 이전 스타일의 권한을 모두 인식합니다. 이러한 명령의 출력에는 현재 스타일의 권한이 표시되지만 권한 자체는 변경되지 않습니다. 명령은 LDAP에 대한 변경 사항을 커밋하지 않고 메모리에만 데이터를 출력하기 전에 권한 항목을 업그레이드합니다.
이전 버전과 현재 특성이 모두 포함된 권한은 이전 버전의 IdM을 실행하는 모든 서버와 현재 IdM 버전을 실행하는 모든 서버에 영향을 미칩니다. 그러나 이전 버전의 IdM을 실행하는 서버에서 현재 권한을 사용하여 권한을 생성하거나 수정할 수 없습니다.

10.4.3. 권한

10.4.3.1. 웹 UI에서 새 권한 생성
  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. Privileges (권한) 작업 링크를 선택합니다.
  3. 권한 목록 상단에 있는 Add 링크를 클릭합니다.

    그림 10.17. 새 권한 추가

    새 권한 추가
  4. 권한의 이름 및 설명을 입력합니다.

    그림 10.18. 권한 추가 양식

    권한 추가 양식
  5. 추가 및 편집 버튼을 클릭하여 권한 구성 페이지로 이동하여 권한을 추가합니다.
  6. 권한 탭을 선택합니다.
  7. 권한 목록 맨 위에 있는 추가를 클릭하여 권한을 추가합니다.

    그림 10.19. 권한 추가

    권한 추가
  8. 추가할 권한의 이름으로 확인란을 클릭하고 > 버튼 사용하여 권한을 Prospective 열로 이동합니다.

    그림 10.20. 권한 선택

    권한 선택
  9. Add 버튼을 클릭하여 저장합니다.
10.4.3.2. 명령줄에서 새 권한 생성
권한 항목은 privilege-add 명령을 사용하여 생성된 다음, privilege-add-permission 명령을 사용하여 권한 그룹에 권한이 추가됩니다.
  1. 권한 항목을 생성합니다.
    [jsmith@server ~]$ ipa privilege-add "managing filesystems" --desc="for filesystems"
  2. 필요한 권한을 할당합니다. 예를 들어 다음과 같습니다.
    [jsmith@server ~]$ ipa privilege-add-permission "managing filesystems" --permissions="managing automount" --permissions="managing ftp services"

IV 부. 관리: ID 관리

이 부분에서는 사용자 계정, 호스트 및 사용자 그룹 및 호스트 그룹을 관리하는 방법을 자세히 설명합니다. 또한 고유한 UID 및 GID 번호와 사용자 및 그룹 스키마 작동 방식을 할당하고 보는 방법을 자세히 설명합니다. 다음 장에서는 서비스 관리 및 호스트 및 서비스에 대한 액세스 위임을 다룹니다. 마지막 장에서는 ID 관리를 위한 액세스 제어 정의 방법, Kerberos 플래그 및 주체 별칭 관리 방법, NIS 도메인 및 Netgroups 과의 통합 방법에 대한 지침을 제공합니다.

11장. 사용자 계정 관리

이 장에서는 사용자 계정의 일반적인 관리 및 구성에 대해 설명합니다.

11.1. 사용자 홈 디렉터리 설정

모든 사용자에게 홈 디렉터리가 구성되어 있는 것이 좋습니다. 사용자 홈 디렉토리의 기본 예상 위치는 /home/ 디렉터리에 있습니다. 예를 들어, IdM에서는 user_login 로그인이 있는 사용자가 /home/user_login 에 홈 디렉토리를 설정할 것으로 예상합니다.
참고
ipa config-mod 명령을 사용하여 사용자 홈 디렉토리의 기본 예상 위치를 변경할 수 있습니다.
IdM은 사용자의 홈 디렉토리를 자동으로 생성하지 않습니다. 그러나 사용자가 로그인할 때 자동으로 홈 디렉터리를 생성하도록 PAM 홈 디렉터리 모듈을 구성할 수 있습니다. 또는 NFS 공유 및 autoscale 유틸리티를 사용하여 홈 디렉토리를 수동으로 추가할 수 있습니다.

11.1.1. PAM 홈 디렉터리 모듈을 사용하여 자동으로 홈 디렉터리 마운트

지원되는 PAM 홈 디렉터리 모듈
IdM 도메인에 로그인할 때 사용자의 홈 디렉터리를 자동으로 생성하도록 PAM 홈 디렉터리 모듈을 구성하려면 다음 PAM 모듈 중 하나를 사용합니다.
  • pam_oddjob_mkhomedir
  • pam_mkhomedir
IdM은 first attempt to use five_oddjob_mkhomedir. 이 모듈이 설치되어 있지 않은 경우 IdM은 tutorial _mkhomedir 을 대신 사용합니다.
참고
NFS 공유의 새 사용자에 대한 홈 디렉터리 자동 생성은 지원되지 않습니다.
PAM 홈 디렉터리 모듈 구성
PAM 홈 디렉터리 모듈을 활성화하면 로컬 효과가 있습니다. 따라서 필요한 각 클라이언트 및 서버에서 모듈을 개별적으로 활성화해야 합니다.
서버 또는 클라이언트를 설치하는 동안 모듈을 구성하려면 시스템을 설치할 때 ipa-server-install 또는 ipa-client-install 유틸리티와 함께 --mkhomedir 옵션을 사용합니다.
이미 설치된 서버 또는 클라이언트에서 모듈을 구성하려면 authconfig 유틸리티를 사용합니다. 예를 들어 다음과 같습니다.
# authconfig --enablemkhomedir --update
authconfig 를 사용하여 홈 디렉터리를 만드는 방법에 대한 자세한 내용은 시스템 수준 인증 가이드를 참조하십시오.

11.1.2. 홈 디렉토리 수동 마운트

NFS 파일 서버를 사용하여 IdM 도메인의 모든 시스템에서 사용할 수 있는 /home/ 디렉터리를 제공한 다음 autoscale 유틸리티를 사용하여 IdM 시스템에 디렉터리를 마운트할 있습니다.
NFS 사용 시 문제 발생
NFS를 사용하면 성능 및 보안에 부정적인 영향을 줄 수 있습니다. 예를 들어 NFS를 사용하면 NFS 사용자에게 root 액세스 권한을 부여하여 발생하는 보안 취약점, 전체 /home/ 디렉터리 트리를 로드하는 성능 문제 또는 홈 디렉터리에 원격 서버를 사용하기 위한 네트워크 성능 문제가 발생할 수 있습니다.
이러한 문제의 영향을 줄이려면 다음 지침을 따르는 것이 좋습니다.
  • 사용자가 로그인할 때만 사용자의 홈 디렉터리를 마운트하려면 자동 마운트를 사용합니다. 전체 /home/ tree를 로드하는 데 사용하지 마십시오.
  • 홈 디렉터리를 생성하는 권한이 제한된 원격 사용자를 사용하고 이 사용자로 IdM 서버에 공유를 마운트합니다. IdM 서버는 httpd 프로세스로 실행되므로 sudo 또는 유사한 프로그램을 사용하여 IdM 서버에 대한 제한된 액세스 권한을 부여하여 NFS 서버에 홈 디렉터리를 생성할 수 있습니다.
NFS 및 mount를 사용하여 홈 디렉터리 설정
NFS 공유 및 마운팅을 사용하여 별도의 위치에서 IdM 서버에 홈 디렉토리를 수동으로 추가하려면 다음을 수행합니다.
  1. 사용자 디렉터리 맵의 새 위치를 만듭니다.
    $ ipa automountlocation-add userdirs
    Location: userdirs
  2. 새 위치의 auto.direct 파일에 직접 매핑을 추가합니다. auto.direct 파일은 ipa-server-install 유틸리티에 의해 자동으로 생성된 이전 맵입니다. 다음 예에서 마운트 지점은 /share:입니다.
    $ ipa automountkey-add userdirs auto.direct --key=/share --info="-ro,soft, server.example.com:/home/share"
    
    Key: /share
    Mount information: -ro,soft, server.example.com:/home/share
IdM과 함께 자동 마운트 를 사용하는 방법에 대한 자세한 내용은 34장. 자동 마운트 사용 을 참조하십시오.

11.2. 사용자 라이프 사이클

Identity Management는 stage,active, preserved 등 세 가지 사용자 계정 상태를 지원합니다.
  • 단계 사용자는 인증할 수 없습니다. 이는 초기 상태입니다. 활성 사용자에게 필요한 일부 사용자 계정 속성은 아직 설정되지 않을 수 있습니다.
  • 활성 사용자는 인증할 수 있습니다. 필요한 모든 사용자 계정 속성을 이 상태로 설정해야 합니다.
  • 보존된 사용자는 이전 활성 사용자입니다. 비활성 것으로 간주되며 IdM에 인증할 수 없습니다. 보존된 사용자는 활성 사용자로 보유한 계정 속성을 대부분 유지하지만 사용자 그룹의 일부가 아닙니다.
    참고
    보존 상태의 사용자 목록은 과거 사용자 계정의 기록을 제공할 수 있습니다.
사용자 항목도 IdM 데이터베이스에서 영구적으로 삭제할 수 있습니다. 사용자 항목을 삭제하면 그룹 멤버십 및 암호를 포함하여 IdM에서 항목 자체 및 모든 정보가 영구적으로 제거됩니다. 시스템 계정 및 홈 디렉터리와 같은 사용자의 외부 구성은 삭제되지 않지만 더 이상 IdM을 통해 액세스할 수 없습니다.
중요
삭제된 사용자 계정은 복원할 수 없습니다. 사용자 계정을 삭제하면 해당 계정과 연결된 모든 정보가 영구적으로 손실됩니다.
새 관리자는 기본 admin 사용자와 같은 다른 관리자만 만들 수 있습니다. 모든 관리자 계정을 실수로 삭제하는 경우 Directory Manager는 Directory Server에서 수동으로 새 관리자를 만들어야 합니다.
주의
admin 사용자를 삭제하지 마십시오. admin 은 IdM에 필요한 사전 정의된 사용자이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다. 대체 admin 사용자를 정의하고 사용하려면 하나 이상의 다른 사용자에게 admin 권한을 부여한 후 ipa user-disable admin 을 사용하여 사전 정의된 admin 사용자를 비활성화합니다.
사용자 라이프사이클 관리 작업
관리자는 사용자 프로비저닝을 관리하기 위해 사용자 계정을 한 상태에서 다른 상태로 이동할 수 있습니다. 새 사용자 계정은 활성 또는 단계로 추가할 수 있지만 보존 되지는 않습니다.
IdM은 사용자 라이프사이클 관리에 대해 다음 작업을 지원합니다.
단계 → 활성
단계 상태의 계정을 적절하게 활성화할 준비가 되면 관리자가 활성 상태로 이동합니다.
활성 → 유지됨
사용자가 퇴사한 후 관리자는 계정을 보존 상태로 이동합니다.
유지 관리 → 활성
이전 사용자가 다시 회사에 가입합니다. 관리자는 보존된 상태에서 활성 상태로 다시 이동하여 사용자 계정을 복원합니다.
유지됨 → 단계
이전 사용자가 다시 회사에 참여할 계획입니다. 관리자는 나중에 반응할 수 있도록 보존된 상태에서 stage 상태로 계정을 이동합니다.
또한 IdM에서 활성, 스테이징 및 보존 사용자를 영구적으로 삭제할 수 있습니다. 단계 사용자를 보존 상태로 이동할 수는 없으며 영구적으로 삭제할 수 있습니다.

그림 11.1. 사용자 라이프 사이클 작업

사용자 라이프 사이클 작업

11.2.1. 단계 또는 활성 사용자 추가

웹 UI에서 사용자 추가
  1. IdentityUsers 탭을 선택합니다.
  2. 활성 사용자 또는 단계 상태에 사용자를 추가할지 여부에 따라 활성 사용자 또는 단계 사용자 범주를 선택합니다.

    그림 11.2. 사용자 카테고리 선택

    사용자 카테고리 선택
    활성 또는 단계 사용자 라이프 사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
  3. 사용자 목록 맨 위에서 추가 를 클릭합니다.

    그림 11.3. 사용자 추가

    사용자 추가
  4. 사용자 추가 양식을 작성합니다.
    사용자 로그인을 수동으로 설정하지 않으면 IdM은 지정된 이름 및 성에 따라 자동으로 로그인을 생성합니다.
  5. 추가를 클릭합니다.
    또는 추가 를 클릭하고 다른 사용자 추가 또는 추가 및 편집 을 클릭하여 새 사용자 항목 편집을 시작합니다. 사용자 항목 편집에 대한 자세한 내용은 11.3절. “사용자 편집” 을 참조하십시오.
명령줄에서 사용자 추가
활성 상태에서 새 사용자를 추가하려면 ipa user-add 명령을 사용합니다. stage 상태에서 새 사용자를 추가하려면 ipa stageuser-add 명령을 사용합니다.
참고
활성 또는 단계 사용자 라이프 사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
옵션 없이 실행하는 경우, ipa user-addipa stageuser-add 프롬프트가 필요한 최소 사용자 속성을 선택하고 다른 속성에 기본값을 사용합니다. 또는 다양한 특성을 명령에 직접 지정하는 옵션을 추가할 수 있습니다.
대화형 세션에서 옵션 없이 명령을 실행한 후 IdM은 제공된 이름 및 성에 따라 자동으로 생성된 사용자 로그인을 제안하고 대괄호([ ])에 표시합니다. 기본 로그인을 허용하려면 Enter 를 눌러 확인합니다. 사용자 정의 로그인을 지정하려면 기본값을 확인하지 않고 대신 사용자 정의 로그인을 지정합니다.
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-addipa stageuser-add 에 옵션을 추가하면 여러 사용자 속성에 대한 사용자 지정 값을 정의할 수 있습니다. 즉, 대화형 세션에 비해 더 많은 정보를 지정할 수 있습니다. 예를 들어 스테이징 사용자를 추가하려면 다음을 수행합니다.
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
ipa user-addipa stageuser-add 에서 허용하는 전체 옵션 목록을 보려면 --help 옵션이 추가된 명령을 실행합니다.
11.2.1.1. 사용자 이름 요구 사항
IdM은 다음 정규 표현식으로 설명할 수 있는 사용자 이름을 지원합니다.
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
사용자 이름에는 문자, 숫자, _, ., $만 포함할 수 있으며 최소 하나의 문자만 포함해야 합니다.
참고
Samba 3.x 시스템 지원을 사용하도록 후행 달러 기호($)로 끝나는 사용자 이름이 지원됩니다.
사용자 이름에 대문자가 포함된 사용자를 추가하면 IdM에서 자동으로 이름을 저장할 때 이름을 소문자로 변환합니다. 따라서 IdM에서는 사용자가 로그인할 때 항상 사용자 이름을 소문자로 입력해야 합니다. 또한 사용자 이름은 사용자 이름(예: 사용자 및 사용자)과 같은 문자 대/소문자만 다른 사용자를 추가할 수 없습니다.
사용자 이름의 기본 최대 길이는 32자입니다. 이를 변경하려면 ipa config-mod --maxusername 명령을 사용합니다. 예를 들어 최대 사용자 이름 길이를 64자로 늘리려면 다음을 수행합니다.
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...
11.2.1.2. 사용자 정의 UID 또는 GID 번호 정의
사용자 지정 UID 또는 GID 번호를 지정하지 않고 새 사용자 항목을 추가하면 IdM에서 ID 범위에서 다음에 사용할 수 있는 ID 번호를 자동으로 할당합니다. 즉, 사용자의 ID 번호는 항상 고유합니다. ID 범위에 대한 자세한 내용은 14장. 고유한 UID 및 GID 번호 할당 을 참조하십시오.
사용자 정의 ID 번호를 지정하면 서버에서 사용자 정의 ID 번호가 고유했는지 여부를 확인하지 않습니다. 이로 인해 여러 사용자 항목에 동일한 ID 번호가 할당될 수 있습니다. 동일한 ID 번호를 가진 여러 항목이 없도록 하는 것이 좋습니다.

11.2.2. 사용자 나열 및 사용자 검색

웹 UI에서 사용자 나열
  1. IdentityUsers 탭을 선택합니다.
  2. 활성 사용자,단계 사용자 또는 Preserved 사용자 범주를 선택합니다.

    그림 11.4. 사용자 나열

    사용자 나열
웹 UI에서 사용자 정보 표시
사용자에 대한 자세한 정보를 표시하려면 사용자 목록에서 사용자 이름을 클릭합니다.

그림 11.5. 사용자 정보 표시

사용자 정보 표시
명령줄에서 사용자 나열
모든 활성 사용자를 나열하려면 ipa user-find 명령을 실행합니다. 모든 단계 사용자를 나열하려면 ipa stageuser-find 명령을 사용합니다. 보존된 사용자를 나열하려면 ipa user-find --preserved=true 명령을 실행합니다.
예를 들어 다음과 같습니다.
$ ipa user-find
---------------
23 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  UID: 1453200000
  GID: 1453200000
  Account disabled: False
  Password: True
  Kerberos keys available: True

  User login: user
...
ipa user-findipa stageuser-find 에 옵션과 인수를 추가하면 검색 기준을 정의하고 검색 결과를 필터링할 수 있습니다. 예를 들어 특정 제목으로 활성 사용자를 모두 표시하려면 다음을 수행합니다.
$ ipa user-find --title=user_title
---------------
2 users matched
---------------
  User login: user
...
  Job Title: Title
...

  User login: user2
...
  Job Title: Title
...
마찬가지로 로그인에 사용자가 포함된 모든 단계 사용자를 표시하려면 다음을 수행하십시오.
$ ipa user-find user
---------------
3 users matched
---------------
User login: user
...

User login: user2
...

User login: user3
...
ipa user-findipa stageuser-find 에서 허용하는 전체 옵션 목록을 보려면 --help 옵션이 추가된 명령을 실행합니다.
명령줄에서 사용자 정보 표시
활성 또는 보존된 사용자에 대한 정보를 표시하려면 ipa user-show 명령을 사용합니다.
$ ipa user-show user_login
  User login: user_login
  First name: first_name
  Last name: last_name
...
스테이지 사용자에 대한 정보를 표시하려면 ipa stageuser-show 명령을 사용합니다.

11.2.3. 사용자 활성화, 사전 예약, 삭제 및 복원

이 섹션에서는 다양한 사용자 라이프사이클 상태 간 사용자 계정 이동에 대해 설명합니다. IdM의 라이프사이클 상태에 대한 자세한 내용은 11.2절. “사용자 라이프 사이클” 을 참조하십시오.
웹 UI에서 사용자 라이프사이클 관리
스테이징 사용자를 활성화하려면 다음을 수행합니다.
  • 단계 사용자 목록에서 활성화할 사용자를 선택하고 활성화를 클릭합니다.

    그림 11.6. 사용자 활성화

    사용자 활성화
사용자를 유지하거나 삭제하려면 다음을 수행합니다.
  1. Active users 또는 Stage users 목록에서 사용자를 선택합니다. 삭제를 클릭합니다.

    그림 11.7. 사용자 삭제

    사용자 삭제
  2. 활성 사용자를 선택한 경우 삭제 또는 보존을 선택합니다. stage 사용자를 선택한 경우 사용자만 삭제할 수 있습니다. 기본 UI 옵션은 delete 입니다.
    예를 들어 활성 사용자를 보존하려면 다음을 수행합니다.

    그림 11.8. 웹 UI에서 삭제 모드 선택

    웹 UI에서 삭제 모드 선택
    확인하려면 Delete (삭제) 버튼을 클릭합니다.
보존된 사용자를 복원하려면 다음을 수행합니다.
  • Preserved users 목록에서 복원할 사용자를 선택하고 복원을 클릭합니다.

    그림 11.9. 사용자 복원

    사용자 복원
참고
사용자를 복원해도 계정의 이전 속성은 모두 복원되지 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
웹 UI에서는 사용자를 보존된 상태에서 stage 상태로 이동할 수 없습니다.
명령줄에서 사용자 라이프사이클 관리
단계에서 활성 상태로 이동하여 사용자 계정을 활성화하려면 ipa stageuser-activate 명령을 사용합니다.
$ ipa stageuser-activate user_login
-------------------------
Stage user user_login activated
-------------------------
...
사용자 계정을 보존하거나 삭제하려면 ipa user-del 또는 ipa stageuser-del 명령을 사용합니다.
  • IdM 데이터베이스에서 활성 사용자를 영구적으로 제거하려면 옵션 없이 ipa user-del 을 실행합니다.
    $ ipa user-del user_login
    --------------------
    Deleted user "user3"
    --------------------
    
  • 활성 사용자 계정을 유지하려면 --preserve 옵션을 사용하여 ipa user-del 을 실행합니다.
    $ ipa user-del --preserve user_login
    --------------------
    Deleted user "user_login"
    --------------------
    
  • IdM 데이터베이스에서 stage 사용자를 영구적으로 제거하려면 ipa stageuser-del 를 실행합니다.
    $ ipa stageuser-del user_login
    --------------------------
    Deleted stage user "user_login"
    --------------------------
    
참고
여러 사용자를 삭제하는 경우 오류와 관계없이 명령을 강제 적용하려면 --continue 옵션을 사용합니다. 명령이 완료되면 성공 및 실패한 작업에 대한 요약이 stdout 표준 출력 스트림에 출력됩니다.
$ ipa user-del --continue user1 user2 user3
--continue 를 사용하지 않으면 명령이 오류가 발생할 때까지 사용자를 삭제하는 과정을 진행합니다. 그러면 중지되고 종료됩니다.
보존된 사용자 계정을 보존에서 활성 상태로 이동하여 보존된 사용자 계정을 복원하려면 ipa user-undel 명령을 사용합니다.
$ ipa user-undel user_login
------------------------------
Undeleted user account "user_login"
------------------------------
보존된 사용자 계정을 stage 로 이동하여 보존된 사용자 계정을 복원하려면 ipa user-stage 명령을 사용합니다.
$ ipa user-stage user_login
------------------------------
Staged user account "user_login"
------------------------------
참고
사용자 계정을 복원해도 계정의 이전 속성이 모두 복원되지는 않습니다. 예를 들어 사용자 암호는 복원되지 않으며 다시 정의해야 합니다.
이러한 명령과 허용되는 옵션에 대한 자세한 내용은 --help 옵션과 함께 실행합니다.

11.3. 사용자 편집

웹 UI에서 사용자 편집
  1. IdentityUsers 탭을 선택합니다.
  2. Active users,Stage users, Preserved 사용자 카테고리를 검색하여 편집할 사용자를 찾습니다.
  3. 편집할 사용자 이름을 클릭합니다.

    그림 11.10. 편집할 사용자 선택

    편집할 사용자 선택
  4. 필요에 따라 사용자 속성 필드를 편집합니다.
  5. 페이지 상단에서 저장 을 클릭합니다.

    그림 11.11. 수정된 사용자 속성 저장

    수정된 사용자 속성 저장
웹 UI에서 사용자 세부 정보를 업데이트하면 새 값이 즉시 동기화되지 않습니다. 새 값이 클라이언트 시스템에 반영되는 데 최대 5분이 걸릴 수 있습니다.
명령줄에서 사용자 편집
활성 상태 또는 보존 상태의 사용자를 수정하려면 ipa user-mod 명령을 사용합니다. 스테이징 상태의 사용자를 수정하려면 ipa stage user-mod 명령을 사용합니다.
ipa user-modipa stageuser-mod 명령은 다음 옵션을 허용합니다.
  • 수정할 사용자 계정을 식별하는 사용자 로그인
  • 새 특성 값을 지정하는 옵션
명령줄에서 수정할 수 있는 사용자 항목 속성의 전체 목록은 ipa user-modipa stageuser-mod 에서 허용하는 옵션 목록을 참조하십시오. 옵션 목록을 표시하려면 --help 옵션이 추가된 명령을 실행합니다.
ipa user-mod 또는 ipa stageuser-mod 에 속성 옵션을 추가하면 현재 속성 값을 덮어씁니다. 예를 들어 다음에서는 사용자의 제목을 변경하거나 사용자가 아직 제목이 지정되지 않은 경우 새 제목을 추가합니다.
$ ipa user-mod user_login --title=new_title
여러 값을 가질 수 있는 LDAP 속성의 경우 IdM은 여러 값도 허용합니다. 예를 들어 사용자는 사용자 계정에 두 개의 이메일 주소를 저장할 수 있습니다. 기존 값을 덮어쓰지 않고 추가 특성 값을 추가하려면 --addattr 옵션을 옵션과 함께 사용하여 새 특성 값을 지정합니다. 예를 들어 이미 지정된 이메일 주소가 있는 사용자 계정에 새 이메일 주소를 추가하려면 다음을 수행합니다.
$ ipa user-mod user --addattr=mobile=new_mobile_number
--------------------
Modified user "user"
--------------------
  User login: user
...
  Mobile Telephone Number: mobile_number, new_mobile_number
...
두 개의 특성 값을 동시에 설정하려면 --addattr 옵션을 두 번 사용합니다.
$ ipa user-mod user --addattr=mobile=mobile_number_1 --addattr=mobile=mobile_number_2
또한 ipa user-mod 명령은 속성 값을 설정하기 위해 --setattr 옵션과 속성 값을 삭제하는 --delattr 옵션을 허용합니다. 이러한 옵션은 --addattr 사용과 유사한 방식으로 사용됩니다. 자세한 내용은 ipa user-mod --help 명령의 출력을 참조하십시오.
참고
사용자의 현재 이메일 주소를 덮어쓰려면 --email 옵션을 사용합니다. 그러나 추가 이메일 주소를 추가하려면 --addattr 옵션과 함께 mail 옵션을 사용합니다.
$ ipa user-mod user --email=email@example.com

$ ipa user-mod user --addattr=mail=another_email@example.com

11.4. 사용자 계정 활성화 및 비활성화

관리자는 활성 사용자 계정을 비활성화하고 활성화할 수 있습니다. 사용자 계정을 비활성화하면 계정이 비활성화됩니다. 비활성화된 사용자 계정은 인증에 사용할 수 없습니다. 계정이 비활성화된 사용자는 IdM에 로그인할 수 없으며 Kerberos와 같은 IdM 서비스를 사용하거나 작업을 수행할 수 없습니다.
비활성화된 사용자 계정은 IdM 내에 계속 존재하며 모든 관련 정보는 변경되지 않습니다. 보존된 사용자 계정과 달리 비활성화된 사용자 계정은 활성 상태로 유지됩니다. 따라서 ipa user-find 명령의 출력에 표시됩니다. 예를 들어 다음과 같습니다.
$ ipa user-find
...
  User login: user
  First name: User
  Last name: User
  Home directory: /home/user
  Login shell: /bin/sh
  UID: 1453200009
  GID: 1453200009
  Account disabled: True
  Password: False
  Kerberos keys available: False
...
비활성화된 사용자 계정은 다시 활성화할 수 있습니다.
참고
사용자 계정을 비활성화한 후 사용자의 Kerberos TGT 및 기타 티켓이 만료될 때까지 기존 연결은 유효한 상태로 유지됩니다. 티켓이 만료되면 사용자는 이를 갱신할 수 없습니다.
웹 UI에서 사용자 계정 활성화 및 비활성화
  1. IdentityUsers 탭을 선택합니다.
  2. 활성 사용자 목록에서 필요한 사용자 또는 사용자를 선택한 다음 비활성화 또는 사용을 클릭합니다.

    그림 11.12. 사용자 계정 비활성화 또는 활성화

    사용자 계정 비활성화 또는 활성화
명령줄에서 사용자 계정 비활성화 및 활성화
사용자 계정을 비활성화하려면 ipa user-disable 명령을 사용합니다.
$ ipa user-disable user_login
----------------------------
Disabled user account "user_login"
----------------------------
사용자 계정을 활성화하려면 ipa user-enable 명령을 사용합니다.
$ ipa user-enable user_login
----------------------------
Enabled user account "user_login"
----------------------------

11.5. 관리자가 아닌 사용자가 사용자 항목을 관리하도록 허용

기본적으로 admin 사용자만 사용자 라이프사이클을 관리하고 사용자 계정을 비활성화 또는 활성화할 수 있습니다. 관리자가 아닌 다른 사용자가 이 작업을 수행할 수 있도록 하려면 새 역할을 생성하고, 관련 권한을 이 역할에 추가하고, 관리자가 아닌 사용자를 역할에 할당합니다.
기본적으로 IdM에는 사용자 계정 관리와 관련된 다음 권한이 포함됩니다.
사용자 수정 및 암호 재설정
이 권한에는 다양한 사용자 속성을 수정할 수 있는 권한이 포함됩니다.
사용자 관리자
이 권한에는 활성 사용자를 추가하고, 비활성 사용자를 활성화하며, 사용자를 제거하고, 사용자 속성 및 기타 권한을 수정하는 권한이 포함됩니다.
사용자 프로비저닝 단계
이 권한에는 스테이징 사용자를 추가할 수 있는 권한이 포함됩니다.
사용자 관리자 단계
이 권한에는 스테이징 사용자 추가 또는 라이프사이클 상태 간 사용자 이동 등의 다양한 라이프사이클 작업을 수행할 수 있는 권한이 포함됩니다. 그러나 사용자를 active 상태로 이동할 수 있는 권한은 포함되지 않습니다.
역할, 권한 및 권한 정의에 대한 자세한 내용은 10.4절. “역할 기반 액세스 제어 정의” 을 참조하십시오.
다른 사용자가 다른 사용자 관리 작업을 수행할 수 있도록 허용
사용자 계정 관리와 관련된 다양한 권한을 다른 사용자에게 추가할 수 있습니다. 예를 들어 다음을 통해 직원 계정 항목 및 활성화에 대한 권한을 분리할 수 있습니다.
  • 1명의 사용자를 스테이징 사용자 관리자로 구성합니다. 이 관리자는 향후 직원을 IdM에 스테이징 사용자로 추가할 수 있지만 활성화할 수는 없습니다.
  • 다른 사용자를 보안 관리자로 구성합니다. 이 관리자는 고용 첫 날 직원 자격 증명을 확인한 후 스테이징 사용자를 활성화할 수 있습니다.
사용자가 특정 사용자 관리 작업을 수행할 수 있도록 하려면 필요한 권한 또는 권한으로 새 역할을 생성하고 해당 역할에 사용자를 할당합니다.

예 11.1. 관리자 권한이 없는 사용자 추가 허용

이 예에서는 새 스테이징 사용자만 추가할 수 있지만 다른 단계의 사용자 관리 작업을 수행하지 않는 사용자를 생성하는 방법을 보여줍니다.
  1. 역할 기반 액세스 제어를 관리할 수 있는 관리자 또는 다른 사용자로 로그인합니다.
    $ kinit admin
    
  2. 새 사용자 지정 역할을 만들어 스테이징 사용자 추가를 관리합니다.
    1. 시스템 프로비저닝 역할을 생성합니다.
      $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"
      --------------------------------
      Added role "System Provisioning"
      --------------------------------
      Role name: System Provisioning
      Description: Responsible for provisioning stage users
      
    2. 역할에 Stage User Provisioning 권한을 추가합니다. 이 권한은 스테이징 사용자를 추가할 수 있는 기능을 제공합니다.
      $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"
      Role name: System Provisioning
      Description: Responsible for provisioning stage users
      Privileges: Stage User Provisioning
      ----------------------------
      Number of privileges added 1
      ----------------------------
      
  3. 관리자가 아닌 사용자에게 스테이징 사용자를 추가할 권한을 부여합니다.
    1. 관리자가 아닌 사용자가 아직 없으면 새 사용자를 만듭니다. 이 예제에서 사용자 이름은 stage_user_admin 입니다.
      $ ipa user-add stage_user_admin --password
      First name: first_name
      Last name: last_name
      Password:
      Enter password again to verify:
      ...
      
    2. stage_user_admin 사용자를 System Provisioning 역할에 할당합니다.
      $ ipa role-add-member "System Provisioning" --users=stage_user_admin
      Role name: System Provisioning
      Description: Responsible for provisioning stage users
      Member users: stage_user_admin
      Privileges: Stage User Provisioning
      -------------------------
      Number of members added 1
      -------------------------
      
    3. System Provisioning 역할이 올바르게 구성되었는지 확인하려면 ipa role-show 명령을 사용하여 역할 설정을 표시할 수 있습니다.
      $ ipa role-show "System Provisioning"
      --------------
      1 role matched
      --------------
      Role name: System provisioning
      Description: Responsible for provisioning stage users
      Member users: stage_user_admin
      Privileges: Stage User Provisioning
      ----------------------------
      Number of entries returned 1
      ----------------------------
      
  4. 새 stage 사용자를 stage_user_admin 사용자로 추가하는 것을 테스트합니다.
    1. stage_user_admin 으로 로그인합니다. 이전 단계 중 하나에서 stage_user_admin 을 새 사용자로 생성한 경우 IdM은 admin 이 설정한 초기 암호를 변경하도록 요청합니다.
      $ kinit stage_user_admin
      Password for stage_user_admin@EXAMPLE.COM:
      Password expired.  You must change it now.
      Enter new password:
      Enter it again:
      
    2. admin의 Kerberos 티켓이 stage_user_ admin 의 Kerberos 티켓으로 교체되었는지 확인하려면 klist 유틸리티를 사용할 수 있습니다.
      $ klist
      Ticket cache: KEYRING:persistent:0:krb_ccache_xIlCQDW
      Default principal: stage_user_admin@EXAMPLE.COM
      
      Valid starting       Expires              Service principal
      02/25/2016 11:42:20  02/26/2016 11:42:20  krbtgt/EXAMPLE.COM
      
    3. 새 stage 사용자를 추가합니다.
      $ ipa stageuser-add stage_user
      First name: first_name
      Last name: last_name
      ipa: ERROR: stage_user: stage user not found
      
      참고
      스테이징 사용자를 추가한 후 IdM이 보고하는 오류입니다. stage_user_admin 은 단계 사용자만 추가할 수 있으며 이에 대한 정보는 표시하지 않습니다. 따라서 새로 추가된 stage_user 설정 요약을 표시하는 대신 IdM에서 오류를 표시합니다.
stage_user_admin 사용자는 스테이지 사용자에 대한 정보를 표시할 수 없습니다. 따라서 stage_user_admin 으로 로그인하는 동안 새 stage_user 사용자에 대한 정보를 표시하려고 하면 실패합니다.
$ ipa stageuser-show stage_user
ipa: ERROR: stage_user: stage user not found
stage_user 에 대한 정보를 표시하려면 admin 으로 로그인합니다.
$ kinit admin
Password for admin@EXAMPLE.COM:
$ ipa stageuser-show stage_user
  User login: stage_user
  First name: Stage
  Last name: User
...

11.6. 사용자 및 그룹에 외부 프로비저닝 시스템 사용

Identity Management는 사용자 환경 구성을 지원하므로 ID 관리를 위한 외부 솔루션을 사용하여 IdM에서 사용자 및 그룹 ID를 프로비저닝할 수 있습니다. 이 섹션에서는 이러한 구성의 예를 설명합니다. 예제에는 다음이 포함됩니다.

11.6.1. 외부 프로비저닝 시스템에서 사용하도록 사용자 계정 구성

다음 절차에서는 외부 프로비저닝 시스템에서 사용할 두 개의 IdM 사용자 계정을 구성하는 방법을 보여줍니다. 적절한 암호 정책을 사용하여 계정을 그룹에 추가하면 외부 프로비저닝 시스템을 사용하여 IdM에서 사용자 프로비저닝을 관리할 수 있습니다.
  1. 스테이지 사용자를 추가할 수 있는 권한이 있는 사용자, provisionator 를 생성합니다. 사용자 계정은 외부 프로비저닝 시스템에서 새 스테이징 사용자를 추가하기 위해 사용합니다.
    1. provisionator 사용자 계정을 추가합니다.
      $ ipa user-add provisionator --first=provisioning --last=account --password
    2. Provision ator 사용자에게 필요한 권한을 부여합니다.
      사용자 지정 역할 시스템 프로비저닝 을 생성하여 스테이지 사용자 추가를 관리합니다.
      $ ipa role-add --desc "Responsible for provisioning stage users" "System Provisioning"
      역할에 Stage User Provisioning 권한을 추가합니다. 이 권한은 스테이징 사용자를 추가할 수 있는 기능을 제공합니다.
      $ ipa role-add-privilege "System Provisioning" --privileges="Stage User Provisioning"
      Provision ator 사용자를 역할에 추가합니다.
      $ ipa role-add-member --users=provisionator "System Provisioning"
  2. 사용자 계정을 관리할 수 있는 권한이 있는 사용자, 활성화기를 만듭니다. 사용자 계정은 외부 프로비저닝 시스템에서 추가한 스테이징 사용자를 자동으로 활성화하는 데 사용됩니다.
    1. activator 사용자 계정을 추가합니다.
      $ ipa user-add activator --first=activation --last=account --password
    2. 활성화 기 사용자에게 필요한 권한을 부여합니다.
      기본 사용자 관리자 역할에 사용자를 추가합니다.
      $ ipa role-add-member --users=activator "User Administrator"
  3. 서비스 및 애플리케이션 계정에 대한 사용자 그룹을 생성합니다.
    $ ipa group-add service-accounts
  4. 그룹의 암호 정책을 업데이트합니다. 다음 정책은 계정의 암호 만료 및 잠금을 금지하지만 복잡한 암호를 요구하여 잠재적인 위험을 보상합니다.
    $ ipa pwpolicy-add service-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=20 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
  5. 서비스 및 애플리케이션 계정의 그룹에 프로비저닝 및 활성화 계정을 추가합니다.
    $ ipa group-add-member service-accounts --users={provisionator,activator}
  6. 사용자 계정의 암호를 변경합니다.
    $ kpasswd provisionator
    $ kpasswd activator
    새 IdM 사용자의 암호가 즉시 만료되므로 암호를 변경해야 합니다.
추가 리소스:

11.6.2. 자동으로 사용자 계정을 활성화하도록 IdM 구성

다음 절차에서는 단계 사용자를 활성화하기 위한 스크립트를 생성하는 방법을 설명합니다. 시스템은 지정된 시간 간격으로 자동으로 스크립트를 실행합니다. 이렇게 하면 새 사용자 계정이 자동으로 활성화되고 생성된 직후 사용할 수 있습니다.
중요
이 절차에서는 스크립트에서 IdM에 추가하기 전에 새 사용자 계정을 검증할 필요가 없다고 가정합니다. 예를 들어, 사용자가 외부 프로비저닝 시스템의 소유자에서 이미 유효성을 검사한 경우 검증이 필요하지 않습니다.
IdM 서버 중 하나에서만 활성화 프로세스를 활성화하는 것으로 충분합니다.
  1. 활성 계정의 키탭 파일을 생성합니다.
    # ipa-getkeytab -s example.com -p "activator" -k /etc/krb5.ipa-activation.keytab
    둘 이상의 IdM 서버에서 활성화 프로세스를 활성화하려면 한 서버에만 키탭 파일을 생성합니다. 그런 다음 키탭 파일을 다른 서버에 복사합니다.
  2. 모든 사용자를 활성화하려면 다음 내용과 함께 /usr/local/sbin/ipa-activate-all 스크립트를 만듭니다.
    #!/bin/bash
    
    kinit -k -i activator
    
    ipa stageuser-find --all --raw | grep "  uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; done
  3. ipa-activate-all 스크립트의 권한 및 소유권을 편집하여 실행 가능하게 합니다.
    # chmod 755 /usr/local/sbin/ipa-activate-all
    # chown root:root /usr/local/sbin/ipa-activate-all
  4. 다음 콘텐츠를 사용하여 systemd 장치 파일 /etc/systemd/system/ipa-activate-all.service 를 만듭니다.
    [Unit]
    Description=Scan IdM every minute for any stage users that must be activated
    
    [Service]
    Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab
    Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all
    ExecStart=/usr/local/sbin/ipa-activate-all
  5. 다음 콘텐츠와 함께 systemd 타이머 /etc/systemd/system/ipa-activate-all.timer 를 만듭니다.
    [Unit]
    Description=Scan IdM every minute for any stage users that must be activated
    
    [Timer]
    OnBootSec=15min
    OnUnitActiveSec=1min
    
    [Install]
    WantedBy=multi-user.target
  6. ipa-activate-all.timer 활성화 :
    # systemctl enable ipa-activate-all.timer
추가 리소스:

11.6.3. IdM ID 관리를 위해 외부 프로비저닝 시스템의 LDAP 공급자 구성

이 섹션에서는 다양한 사용자 및 그룹 관리 작업에 대한 템플릿을 보여줍니다. 이러한 템플릿을 사용하여 IdM 사용자 계정을 관리하도록 프로비저닝 시스템의 LDAP 프로바이더를 구성할 수 있습니다. 예를 들어 직원이 퇴사한 후 사용자 계정을 활성화하도록 시스템을 구성할 수 있습니다.
LDAP를 사용하여 사용자 계정 관리
새 사용자 항목을 추가하거나, 기존 항목을 수정하거나, 기존 항목을 수정하거나, 다른 라이프사이클 상태 간에 사용자를 이동하거나, 기본 Directory Server 데이터베이스를 편집하여 사용자를 삭제할 수 있습니다. 데이터베이스를 편집하려면 ldapmodify 유틸리티를 사용합니다.
다음 LDIF 형식의 템플릿은 ldapmodify 를 사용하여 수정할 속성에 대한 정보를 제공합니다. 자세한 예제 프로시저는 예 11.2. “ldapmodify를 사용하여 단계 사용자 추가”예 11.3. “ldapmodify를 사용하여 사용자 유지” 을 참조하십시오.
새 단계 사용자 추가
UID 및 GID가 자동으로 할당된 사용자를 추가합니다.
dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=example,dc=com
changetype: add
objectClass: top
objectClass: inetorgperson
uid: user_login
sn: surname
givenName: first_name
cn: full_name
UID 및 GID가 정적으로 할당된 사용자 추가:
dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=example,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: inetorgperson
objectClass: organizationalperson
objectClass: posixaccount
uid: user_login
uidNumber: UID_number
gidNumber: GID_number
sn: surname
givenName: first_name
cn: full_name
homeDirectory: /home/user_login
스테이징 사용자를 추가할 때 IdM 오브젝트 클래스를 지정할 필요는 없습니다. IdM은 사용자가 활성화되면 이러한 클래스를 자동으로 추가합니다.
생성된 항목의 고유 이름(DN)은 uid=user_login 으로 시작해야 합니다.
기존 사용자 수정
사용자를 수정하기 전에 사용자 로그인으로 검색하여 사용자의 고유 이름(DN)을 가져옵니다. 다음 예제에서 user_allowed_to_read 사용자는 사용자와 그룹 정보를 읽을 수 있는 사용자이며 암호 는 이 사용자의 암호입니다.
# ldapsearch -LLL -x -D "uid=user_allowed_to_read,cn=users,cn=accounts,dc=example, dc=com" -w "password" -H ldap://server.example.com -b "cn=users, cn=accounts, dc=example, dc=com" uid=user_login
사용자의 특성을 수정하려면 다음을 수행합니다.
dn: distinguished_name
changetype: modify
replace: attribute_to_modify
attribute_to_modify: new_value
사용자를 비활성화하려면 다음을 수행합니다.
dn: distinguished_name
changetype: modify
replace: nsAccountLock
nsAccountLock: TRUE
사용자를 활성화하려면 다음을 수행합니다.
dn: distinguished_name
changetype: modify
replace: nsAccountLock
nsAccountLock: FALSE
사용자를 보존하려면 다음을 수행합니다.
dn: distinguished_name
changetype: modrdn
newrdn: uid=user_login
deleteoldrdn: 0
newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=example
nssAccountLock 특성을 업데이트해도 스테이지 및 보존된 사용자에게는 영향을 미치지 않습니다. 업데이트 작업이 성공적으로 완료되었지만 속성 값은 nssAccountLock로 유지됩니다. TRUE.
새 그룹 만들기
새 그룹을 생성하려면 다음을 수행합니다.
dn: cn=group_distinguished_name,cn=groups,cn=accounts,dc=example,dc=com
changetype: add
objectClass: top
objectClass: ipaobject
objectClass: ipausergroup
objectClass: groupofnames
objectClass: nestedgroup
objectClass: posixgroup
cn: group_name
gidNumber: GID_number
그룹 수정
그룹을 수정하기 전에 그룹 이름으로 검색하여 그룹의 고유 이름(DN)을 가져옵니다.
# ldapsearch -YGSSAPI  -H ldap://server.example.com -b "cn=groups,cn=accounts,dc=example,dc=com" "cn=group_name"
기존 그룹을 삭제하려면 다음을 수행합니다.
dn: group_distinguished_name
changetype: delete
그룹에 멤버를 추가하려면 다음을 수행합니다.
dn: group_distinguished_name
changetype: modify
add: member
member: uid=user_login,cn=users,cn=accounts,dc=example,dc=com
그룹에서 멤버를 제거하려면 다음을 수행합니다.
dn: distinguished_name
changetype: modify
delete: member
member: uid=user_login,cn=users,cn=accounts,dc=example,dc=com
스테이징 또는 보존된 사용자를 그룹에 추가하지 마십시오. 업데이트 작업이 성공적으로 완료되지만 사용자는 그룹의 멤버로 업데이트되지 않습니다. 활성 사용자만 그룹에 속할 수 있습니다.

예 11.2. ldapmodify를 사용하여 단계 사용자 추가

표준 interorgperson 오브젝트 클래스를 사용하여 새 stageuser 사용자를 추가하려면 다음을 수행합니다.
  1. ldapmodify 를 사용하여 사용자를 추가합니다.
    # ldapmodify -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: admin@EXAMPLE
    SASL SSF: 56
    SASL data security layer installed.
    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=example
    changetype: add
    objectClass: top
    objectClass: inetorgperson
    cn: Stage
    sn: User
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=example"
    
  2. 스테이징 항목의 콘텐츠의 유효성을 검사하여 프로비저닝 시스템이 필요한 모든 POSIX 속성을 추가하고 stage 항목을 활성화할 준비가 되었는지 확인합니다. ipa stageuser-show --all --raw 명령을 사용하여 새 단계 사용자의 LDAP 속성을 표시합니다. 사용자는 nsaccountlock 특성을 통해 명시적으로 비활성화되어 있습니다.
    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=example
      uid: stageuser
      sn: User
      cn: Stage
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    

예 11.3. ldapmodify를 사용하여 사용자 유지

LDAP modrdn 작업을 사용하여 사용자를 보존하려면 다음을 수행합니다.
  1. ldapmodify 유틸리티를 사용하여 사용자 항목을 수정합니다.
    $ ldapmodify -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: admin@EXAMPLE
    SASL SSF: 56
    SASL data security layer installed.
    dn: uid=user1,cn=users,cn=accounts,dc=example
    changetype: modrdn
    newrdn: uid=user1
    deleteoldrdn: 0
    newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=example
    
    modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=example"
    
  2. 필요한 경우, 보존된 사용자를 모두 나열하여 사용자가 보존되었는지 확인합니다.
    $ ipa user-find --preserved=true
    ---------------
    1 user matched
    ---------------
      User login: user1
      First name: first_name
      Last name: last_name
    ...
    ----------------------------
    Number of entries returned 1
    ----------------------------
    

12장. 호스트 관리

DNS와 Kerberos 모두 초기 클라이언트 구성의 일부로 구성됩니다. 이 두 서비스는 IdM 도메인에 시스템을 가져와 연결할 IdM 서버를 식별할 수 있도록 하기 때문에 필요합니다. 초기 구성 후 IdM에는 도메인 서비스 변경, IT 환경 변경 또는 Kerberos, 인증서 및 DNS 서비스에 영향을 미치는 시스템 자체 변경에 대한 응답으로 이러한 서비스를 모두 관리하는 툴이 있습니다.
이 장에서는 클라이언트 시스템과 직접 관련된 ID 서비스를 관리하는 방법을 설명합니다.
  • DNS 항목 및 설정
  • 머신 인증
  • 호스트 이름 변경(도메인 서비스에 영향을 미치는)

12.1. 호스트, 서비스 및 시스템 ID 및 인증 정보

등록 프로세스의 기본 기능은 IdM 디렉터리에 클라이언트 시스템에 대한 호스트 항목을 생성하는 것입니다. 이 호스트 항목은 도메인 내의 다른 호스트와 서비스( 1장. Red Hat Identity Management 소개에 설명된 대로) 간의 관계를 설정하는 데 사용됩니다. 이러한 관계는 도메인 내 호스트에 대한 권한 및 제어를 위임하는 데 사용됩니다.
호스트 항목에는 IdM 내의 클라이언트에 대한 모든 정보가 포함되어 있습니다.
  • 호스트와 관련된 서비스 항목
  • 호스트 및 서비스 주체
  • 액세스 제어 규칙
  • 물리적 위치 및 운영 체제와 같은 머신 정보
호스트에서 실행되는 일부 서비스도 IdM 도메인에 속할 수 있습니다. Kerberos 사용자 또는 SSL 인증서(또는 둘 다)를 저장할 수 있는 모든 서비스를 IdM 서비스로 구성할 수 있습니다. IdM 도메인에 서비스를 추가하면 서비스에서 도메인에서 SSL 인증서 또는 keytab을 요청할 수 있습니다. (인증서의 공개 키만 서비스 레코드에 저장됩니다. 개인 키는 서비스의 로컬입니다.)
IdM 도메인은 일반적인 ID 정보, 공통 정책 및 공유 서비스를 사용하여 시스템 간 공통성을 설정합니다. 도메인 기능에 속하는 모든 머신은 도메인의 클라이언트로, 도메인에서 제공하는 서비스를 사용합니다. IdM 도메인은 특히 시스템용 세 가지 주요 서비스를 제공합니다.
  • DNS
  • Kerberos
  • 인증서 관리
사용자와 마찬가지로 시스템은 IdM에서 관리하는 ID입니다. 클라이언트 시스템은 DNS를 사용하여 IdM 서버, 서비스 및 도메인 멤버를 식별합니다. 이러한 ID는 IdM 서버의 389 Directory Server 인스턴스에 저장됩니다. 사용자와 마찬가지로 시스템은 Kerberos 또는 인증서를 사용하여 도메인에 인증할 수 있습니다.
시스템 관점에서 이러한 도메인 서비스에 액세스하는 몇 가지 작업을 수행할 수 있습니다.
  • DNS 도메인 가입 (시스템 등록)
  • DNS 항목 및 영역 관리
  • 머신 인증 관리
IdM의 인증에는 시스템 및 사용자도 포함됩니다. IdM 서버가 시스템을 신뢰하고 해당 시스템에 설치된 클라이언트 소프트웨어의 IdM 연결을 수락하려면 시스템 인증이 필요합니다. 클라이언트를 인증한 후 IdM 서버는 요청에 응답할 수 있습니다. IdM은 시스템 인증에 대한 세 가지 접근 방식을 지원합니다.
  • SSH 키. 호스트의 SSH 공개 키는 생성되어 호스트 항목에 업로드됩니다. 여기에서 SSSD(System Security Services Daemon)는 IdM을 ID 공급자로 사용하며 OpenSSH 및 기타 서비스와 협력하여 ID 관리에 중앙에 있는 공개 키를 참조할 수 있습니다. 자세한 내용은 12.5절. “호스트의 공개 SSH 키 관리” 에서 참조하십시오.
  • 키 테이블(또는 키탭, 사용자 암호의 일부 범위로 결합되는 대칭 키) 및 시스템 인증서입니다. Kerberos 티켓은 서버에서 정의한 Kerberos 서비스 및 정책의 일부로 생성됩니다. 처음에는 Kerberos 티켓을 부여하고 Kerberos 자격 증명을 갱신하며 Kerberos 세션을 제거하더라도 IdM 서비스에서 처리합니다. Kerberos 관리에 대해서는 29장. Kerberos 도메인 관리 에서 다룹니다.
  • 시스템 인증서. 이 경우 시스템은 IdM 서버의 인증 기관에서 발급한 다음 IdM의 디렉터리 서버에 저장된 SSL 인증서를 사용합니다. 그런 다음 서버에 인증할 때 인증서를 표시하도록 시스템으로 전송됩니다. 클라이언트에서 인증서는 certmonger 라는 서비스에 의해 관리됩니다.

12.2. 호스트 항목 구성 속성 정보

호스트 항목에는 시스템 구성 외부에 있는 호스트(예: 물리적 위치, MAC 주소, 키 및 인증서)에 대한 정보가 포함될 수 있습니다.
이 정보는 수동으로 만드는 경우 설정할 수 있습니다. 그렇지 않으면 대부분의 정보를 도메인에 등록한 후 호스트 항목에 추가해야 합니다.
표 12.1. 호스트 구성 속성
UI 필드 명령줄 옵션 Description
Description --desc=description 호스트에 대한 설명입니다.
지역 --locality=locality 호스트의 지리적 위치입니다.
위치 --location=location 호스트의 물리적 위치(예: 데이터 센터 랙).
platform --platform=string 호스트 하드웨어 또는 아키텍처.
운영 체제 --os=string 호스트의 운영 체제 및 버전입니다.
MAC 주소 --macaddress=address 호스트의 MAC 주소입니다. 이것은 다중 값 속성입니다. MAC 주소는 NIS 플러그인에서 호스트에 대한 NIS ethers 맵을 생성하는 데 사용됩니다.
SSH 공개 키 --sshpubkey=string 호스트에 대한 전체 SSH 공개 키입니다. 이것은 다중 값 특성이므로 여러 개의 키를 설정할 수 있습니다.
기본 이름 (편집할 수 없음) --principalname=principal 호스트의 Kerberos 주체 이름입니다. 이는 클라이언트 설치 중에 기본적으로 다른 주체가 -p 에 명시적으로 설정되지 않은 한 호스트 이름입니다. 명령줄 툴을 사용하여 변경할 수 있지만 UI에서는 변경할 수 없습니다.
일회성 암호 설정 --password=string 대규모 등록에 사용할 수 있는 호스트의 암호를 설정합니다.
- --random 대규모 등록에 사용할 임의 암호를 생성합니다.
- --certificate=string 호스트의 인증서 Blob.
- --updatedns 이는 IP 주소가 변경되는 경우 호스트에서 DNS 항목을 동적으로 업데이트할 수 있는지 여부를 설정합니다.

12.3. 호스트 항목 추가

12.3.1. 웹 UI에서 호스트 항목 추가

  1. Identity (ID) 탭을 열고 Hosts (호스트)를 선택합니다.
  2. 호스트 목록 상단에 있는 추가 를 클릭합니다.

    그림 12.1. 호스트 항목 추가

    호스트 항목 추가
  3. 시스템 이름을 입력하고 드롭다운 목록에 구성된 영역에서 도메인을 선택합니다. 호스트에 이미 정적 IP 주소가 할당되어 DNS 항목이 완전히 생성되도록 호스트 항목에 포함합니다.
    필요한 경우 경우에 따라 일부 사용 사례에 대해 호스트에 추가 값을 추가하려면 Class 필드를 사용합니다. 이 속성에 배치 된 의미가 로컬 해석을 위한 것입니다.

    그림 12.2. 호스트 마법사 추가

    호스트 마법사 추가
    DNS 영역은 33.4.1절. “마스터 DNS 영역 추가 및 제거” 에 설명된 IdM에서 생성할 수 있습니다. IdM 서버가 DNS 서버를 관리하지 않는 경우 일반 텍스트 필드와 같이 메뉴 영역에 영역을 수동으로 입력할 수 있습니다.
    참고
    호스트를 DNS를 통해 확인할 수 있는지 여부를 건너뛰려면 Force 확인란을 선택합니다.
  4. 추가 및 편집 버튼을 클릭하여 확장된 항목 페이지로 직접 이동하여 더 많은 속성 정보를 입력합니다. 호스트 하드웨어 및 물리적 위치에 대한 정보는 호스트 항목에 포함될 수 있습니다.

    그림 12.3. 확장된 엔트리 페이지

    확장된 엔트리 페이지

12.3.2. 명령줄에서 호스트 항목 추가

호스트 항목은 host-add 명령을 사용하여 생성합니다. 이 명령은 IdM Directory Server에 호스트 항목을 추가합니다. host-add 를 사용하여 전체 옵션 목록은 ipa 호스트 manpage에 나열되어 있습니다. 가장 기본적인 추가 작업에는 클라이언트 호스트 이름만 Kerberos 영역에 추가하고 IdM LDAP 서버에서 항목을 생성하는 데만 있으면 됩니다.
$ ipa host-add client1.example.com
IdM 서버가 DNS를 관리하도록 구성된 경우 --ip-address--force 옵션을 사용하여 DNS 리소스 레코드에 호스트를 추가할 수도 있습니다.

예 12.1. 정적 IP 주소를 사용하여 호스트 항목 생성

$ ipa host-add --force --ip-address=192.168.166.31 client1.example.com
일반적으로 호스트에는 정적 IP 주소가 없을 수도 있고 클라이언트가 구성된 시점에 IP 주소를 알 수 없을 수도 있습니다. 예를 들어, 랩북은 Identity Management 클라이언트로 미리 구성될 수 있지만, 구성되는 시점에는 IP 주소가 없습니다. DHCP를 사용하는 호스트는 --force 를 사용하여 DNS 항목으로 구성할 수 있습니다. 기본적으로 IdM DNS 서비스에 자리 표시자 항목을 생성합니다. DNS 서비스가 레코드를 동적으로 업데이트하면 호스트의 현재 IP 주소가 탐지되고 해당 DNS 레코드가 업데이트됩니다.

예 12.2. DHCP를 사용하여 호스트 항목 생성

$ ipa host-add --force client1.example.com
호스트 레코드는 host-del 명령을 사용하여 삭제됩니다. IdM 도메인에서 DNS를 사용하는 경우 --updatedns 옵션은 DNS에서 호스트의 관련 레코드도 제거합니다.
$ ipa host-del --updatedns client1.example.com

12.4. 호스트 항목 비활성화 및 재활성화

활성 호스트는 도메인 내의 다른 서비스, 호스트 및 사용자가 액세스할 수 있습니다. 활동에서 호스트를 제거해야 하는 경우가 있을 수 있습니다. 그러나 호스트를 삭제하면 항목 및 연결된 모든 구성이 제거되며 영구적으로 제거됩니다.

12.4.1. 호스트 항목 비활성화

호스트를 비활성화하면 도메인 사용자가 도메인에서 영구히 제거하지 않고 액세스할 수 없습니다. host-disable 명령을 사용하여 이 작업을 수행할 수 있습니다.
예를 들어 다음과 같습니다.
[jsmith@ipaserver ~]$ kinit admin
[jsmith@ipaserver ~]$ ipa host-disable server.example.com
중요
호스트 항목을 비활성화하면 해당 호스트를 비활성화할 뿐만 아니라. 해당 호스트에서 구성된 모든 서비스도 비활성화합니다.

12.4.2. 호스트 재활성화

이 섹션에서는 비활성화된 IdM 호스트를 다시 활성화하는 방법을 설명합니다.
호스트를 비활성화하면 활성 키탭이 제거되어 구성 항목을 변경하지 않고 IdM 도메인에서 호스트를 제거했습니다.
호스트를 다시 활성화하려면 ipa-getkeytab 명령을 사용하여 다음을 추가합니다.
  • 키탭을 요청할 IdM 서버를 지정하는 -s 옵션
  • 주 이름을 지정하는 -p 옵션
  • 키탭을 저장할 파일을 지정하는 -k 옵션.
예를 들어 client.example.com 용으로 server.example.com 에서 새 호스트 키 탭을 요청하고 해당 keytab을 /etc/krb5.keytab 파일에 저장하려면 다음을 수행합니다.
$ ipa-getkeytab -s server.example.com -p host/client.example.com -k /etc/krb5.keytab -D "cn=directory manager" -w password
참고
관리자의 자격 증명을 사용하여 -D "uid=admin,cn=users,cn=accounts,dc=example,dc=com" 을 지정할 수도 있습니다. 자격 증명이 호스트에 대한 키탭을 만들 수 있는 사용자에 해당하는 것이 중요합니다.
활성 IdM 클라이언트 또는 서버에서 ipa-getkeytab 명령을 실행하는 경우 사용자에게 kinit admin 과 같은 방법으로 TGT를 얻은 경우 LDAP 자격 증명(-D-w) 없이 실행할 수 있습니다. 비활성화된 호스트에서 직접 명령을 실행하려면 LDAP 자격 증명을 제공하여 IdM 서버에 인증합니다.

12.5. 호스트의 공개 SSH 키 관리

OpenSSH는 공개 키를 사용하여 호스트를 인증합니다. 한 시스템에서 다른 시스템에 액세스를 시도하고 해당 키 쌍을 표시합니다. 호스트가 처음 인증될 때 대상 시스템의 관리자는 요청을 수동으로 승인해야 합니다. 그런 다음 시스템은 known_hosts 파일에 호스트의 공개 키를 저장합니다. 원격 시스템이 대상 시스템에 다시 액세스하려고 할 때마다 대상 시스템은 known_hosts 파일을 확인한 다음 승인된 호스트에 대한 액세스 권한을 자동으로 부여합니다.
이 시스템에는 몇 가지 문제가 있습니다.
  • known_hosts 파일은 호스트 IP 주소, 호스트 이름 및 키의 중단에 호스트 항목을 저장합니다. 이 파일은 IP 주소가 변경되거나(가상 환경 및 데이터 센터에서 일반적으로) 키가 업데이트되는 경우 최신 상태가 될 수 있습니다.
  • SSH 키는 환경의 모든 시스템에 수동 및 별도로 배포해야 합니다.
  • 관리자는 호스트 키를 승인하여 구성에 추가할 수 있지만, 호스트 또는 키 발행자를 올바르게 확인하여 보안 문제를 생성할 수 있습니다.
Red Hat Enterprise Linux에서 SSSD(System Security Services Daemon)는 호스트 SSH 키를 캐시 및 검색하여 애플리케이션 및 서비스가 호스트 키의 한 위치만 찾도록 구성할 수 있습니다. SSSD는 ID 정보 공급자 중 하나로 Identity Management를 사용할 수 있으므로 Identity Management는 키의 범용이고 중앙 집중식 리포지토리를 제공합니다. 관리자는 호스트 SSH 키 배포, 업데이트 또는 확인에 대해 걱정할 필요가 없습니다.

12.5.1. SSH 키 형식 정보

키가 IdM 항목에 업로드되면 키 형식은 OpenSSH 스타일 키 또는 원시 RFC 4253 스타일 Blob 일 수 있습니다. 모든 RFC 4253 스타일 키는 IdM LDAP 서버에 가져와 저장하기 전에 자동으로 OpenSSH 스타일 키로 변환됩니다.
IdM 서버는 업로드된 키 Blob에서 RSA 또는 DSA 키와 같은 키 유형을 식별할 수 있습니다. 그러나 ~/.ssh/known_hosts 와 같은 키 파일에서 키 항목은 서버의 호스트 이름 및 IP 주소, 해당 유형, 키 자체로 식별됩니다. 예를 들어 다음과 같습니다.
host.example.com,1.2.3.4 ssh-rsa AAA...ZZZ==
이 키 항목은 순서 유형 key== 주석에 요소가 있는 사용자 공개 키 항목과 약간 다릅니다.
"ssh-rsa ABCD1234...== ipaclient.example.com"
키 파일에서 세 부분 모두 에 업로드하고 호스트 항목에 대해 볼 수 있습니다. 이 경우 ~/.ssh/known_hosts 파일의 호스트 공개 키 항목을 사용자 키의 형식과 일치하도록 다시 정렬해야 합니다. key= comment:
ssh-rsa AAA...ZZZ== host.example.com,1.2.3.4
키 유형은 공개 키의 콘텐츠에서 자동으로 결정할 수 있으며, 주석은 개별 키를 쉽게 식별할 수 있도록 선택 사항입니다. 유일한 필수 요소는 공개 키 Blob 자체입니다.

12.5.2. ipa-client-install 및 OpenSSH 정보

기본적으로 ipa-client-install 스크립트는 IdM 클라이언트 시스템에 OpenSSH 서버 및 클라이언트를 구성합니다. 또한 호스트 및 사용자 키 캐싱을 수행하도록 SSSD를 구성합니다. 기본적으로 클라이언트 구성은 호스트에서 키 캐싱 및 검색에 SSSD, OpenSSH 및 Identity Management를 사용하는 데 필요한 모든 구성을 수행합니다.
클라이언트 설치(기본값)를 사용하여 SSH 서비스를 활성화하면 ssh 서비스가 처음 시작될 때 RSA 키가 생성됩니다.
참고
ipa-client-install 을 사용하여 시스템을 IdM 클라이언트로 추가하면 클라이언트가 RSA 및ECDHE의 두 개의 SSH 키를 사용하여 생성됩니다.
추가 클라이언트 구성 옵션인 --ssh-trust-dns 가 있습니다. 이 옵션은 ipa-client-install 을 사용하여 실행할 수 있으며 키 지문이 저장된 IdM DNS 레코드를 신뢰하도록 OpenSSH를 자동으로 구성합니다.
또는 --no-sshd 옵션을 사용하여 클라이언트를 설치할 때 OpenSSH를 비활성화할 수 있습니다. 이렇게 하면 설치 스크립트가 OpenSSH 서버를 구성하지 못합니다.
또 다른 옵션인 --no-dns-sshfp 를 사용하면 호스트가 자체 DNS 항목을 사용하여 DNS SSHFP 레코드를 생성하지 못합니다. 이 옵션은 --no-sshd 옵션과 함께 사용하거나 사용하지 않고 사용할 수 있습니다.

12.5.3. 웹 UI를 통해 호스트 SSH 키 업로드

  1. 호스트의 키는 ~/.ssh/known_hosts 에서 검색할 수 있습니다. 예를 들어 다음과 같습니다.
    server.example.com,1.2.3.4 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApvjBvSFSkTU0WQW4eOweeo0DZZ08F9Ud21xlLy6FOhzwpXFGIyxvXZ52+siHBHbbqGL5+14N7UvElruyslIHx9LYUR/pPKSMXCGyboLy5aTNl5OQ5EHwrhVnFDIKXkvp45945R7SKYCUtRumm0Iw6wq0XD4o+ILeVbV3wmcB1bXs36ZvC/M6riefn9PcJmh6vNCvIsbMY6S+FhkWUTTiOXJjUDYRLlwM273FfWhzHK+SSQXeBp/zIn1gFvJhSZMRi9HZpDoqxLbBB9QIdIw6U4MIjNmKsSI/ASpkFm2GuQ7ZK9KuMItY2AoCuIRmRAdF8iYNHBTXNfFurGogXwRDjQ==
    필요한 경우 호스트 키를 생성합니다. OpenSSH 툴을 사용하는 경우 빈 암호를 사용하고 사용자 ~/.ssh/ 디렉터리가 아닌 다른 위치에 키를 저장하려면 기존 키를 덮어쓰지 않도록 해야 합니다.
    [jsmith@server ~]$ ssh-keygen -t rsa -C "server.example.com,1.2.3.4"
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/jsmith/.ssh/id_rsa): /home/jsmith/.ssh/host_keys
    Enter passphrase (empty for no passphrase):
    Enter same passphrase again:
    Your identification has been saved in /home/jsmith/.ssh/host_keys.
    Your public key has been saved in /home/jsmith/.ssh/host_keys.pub.
    The key fingerprint is:
    SHA256:GAUIDVVEgly7rs1lTWP6oguHz8BKvyZkpqCqVSsmi7c server.example.com
    The key's randomart image is:
    +--[ RSA 2048]----+
    |              .. |
    |               .+|
    |          o   .* |
    |         o . .. *|
    |        S + .  o+|
    |         E . .. .|
    |        . = .  o |
    |         o .  ..o|
    |            .....|
    +-----------------+
  2. 키 파일에서 공개 키를 복사합니다. 전체 키 항목의 형식은 호스트 이름,IP 유형 key== 입니다. key== 만 필요하지만 전체 항목을 저장할 수 있습니다. 항목의 모든 요소를 사용하려면 주문 유형 key= [host name,IP]가 있도록 항목을 다시 정렬합니다.
    [jsmith@server ~]$ cat /home/jsmith/.ssh/host_keys.pub
    
    ssh-rsa AAAAB3NzaC1yc2E...tJG1PK2Mq++wQ== server.example.com,1.2.3.4
  3. Identity (ID) 탭을 열고 Hosts (호스트)를 선택합니다.
  4. 편집할 호스트 이름을 클릭합니다.

    그림 12.4. 호스트 목록

    호스트 목록
  5. Settings 탭의 Host Settings 영역에서 SSH 공개 키 옆에 있는 추가 를 클릭합니다.

    그림 12.5. SSH 키 추가

    SSH 키 추가
  6. 호스트의 공개 키에 붙여넣고 설정을 클릭합니다.

    그림 12.6. SSH 키 설정

    SSH 키 설정
    이제 SSH 공개 키 영역에 새 키가 표시됩니다. Show/Set 키를 클릭하면 제출된 키가 열립니다.
  7. 여러 키를 업로드하려면 공개 키 목록 아래의 추가 링크를 클릭하고 다른 키를 업로드합니다.
  8. 모든 키가 제출되면 호스트 페이지 상단에서 저장 을 클릭하여 변경 사항을 저장합니다.
공개 키가 저장되면 항목이 키 지문으로 표시되고, 주석(포함된 경우), 키 유형[2].
호스트 키를 업로드한 후 Identity Management를 ID 도메인 중 하나로 사용하도록 SSSD를 구성하고 22.6절. “OpenSSH 서비스에 캐시를 제공하도록 SSSD 구성” 에서 다루는 호스트 키 관리에 SSSD 툴링을 사용하도록 OpenSSH를 설정합니다.

12.5.4. 명령줄에서 호스트 키 추가

호스트 SSH 키는 호스트 추가를 사용하여 호스트를 생성할 때 또는 나중에 항목을 수정하여 IdM의 호스트 항목에 추가됩니다.
참고
RSA 및ECDHE 호스트 키는 설치 스크립트에서 SSH 서비스가 명시적으로 비활성화되지 않는 한 ipa-client-install 명령으로 생성됩니다.
  1. --sshpubkey 옵션과 함께 host-mod 명령을 실행하여 base64로 인코딩된 공개 키를 호스트 항목에 업로드합니다.
    호스트 키를 추가하면 호스트의 DNS SSHFP 항목도 변경되므로 --updatedns 옵션을 사용하여 호스트의 DNS 항목을 업데이트합니다.
    예를 들어 다음과 같습니다.
    [jsmith@server ~]$ ipa host-mod --sshpubkey="ssh-rsa RjlzYQo==" --updatedns host1.example.com
    실제 키는 일반적으로 등호(=)로 종료되지만 더 길어집니다.
    두 개 이상의 키를 업로드하려면 --sshpubkey 명령줄 매개변수를 여러 개 입력하십시오.
    --sshpubkey="RjlzYQo==" --sshpubkey="ZEt0TAo=="
    참고
    호스트에는 공개 키가 여러 개 있을 수 있습니다.
  2. 호스트 키를 업로드한 후 Identity Management를 ID 도메인 중 하나로 사용하도록 SSSD를 구성하고 22.6절. “OpenSSH 서비스에 캐시를 제공하도록 SSSD 구성” 에서 다루는 호스트 키 관리에 SSSD 툴링을 사용하도록 OpenSSH를 설정합니다.

12.5.5. 호스트 키 제거

호스트 키는 만료되면 제거할 수 있거나 더 이상 유효하지 않습니다.
개별 호스트 키를 제거하려면 웹 UI를 통해 키를 제거하는 것이 가장 쉽습니다.
  1. Identity (ID) 탭을 열고 Hosts (호스트)를 선택합니다.
  2. 편집할 호스트 이름을 클릭합니다.

    그림 12.7. 호스트 목록

    호스트 목록
  3. SSH 공개 키 영역에서 키 지문으로 삭제 를 클릭하여 제거합니다.

    그림 12.8. 공개 키 삭제

    공개 키 삭제
  4. 호스트 페이지 상단에서 저장 을 클릭하여 변경 사항을 저장합니다.
명령줄 툴을 사용하여 모든 키를 제거할 수 있습니다. 이 작업은 --sshpubkey= 가 빈 값으로 설정된 ipa host-mod 를 실행하여 수행됩니다. 그러면 호스트의 모든 공개 키가 제거됩니다. 또한 --updatedns 옵션을 사용하여 호스트의 DNS 항목을 업데이트합니다. 예를 들어 다음과 같습니다.
[jsmith@server ~]$ kinit admin
[jsmith@server ~]$ ipa host-mod --sshpubkey= --updatedns host1.example.com


[2] 키 유형이 업로드된 키에 포함되지 않은 경우 키 자체에서 자동으로 결정됩니다.

12.6. 호스트에 대한 ethers 정보 설정

NIS는 플랫폼, 운영 체제, DNS 도메인, MAC 주소에 따라 시스템의 DHCP 구성 파일을 관리하는 데 사용할 수 있는 ethers 테이블을 호스팅할 수 있습니다. IdM의 호스트 항목에 저장된 모든 정보입니다.
Identity Management에서 각 시스템은 ou= ethers 하위 트리의 디렉터리에 해당 ethers 항목을 사용하여 생성됩니다.
cn=server,ou=ethers,dc=example,dc=com
이 항목은 IdM에서 NIS 호환성 플러그인에서 관리할 수 있는 ethers 서비스에 대한 NIS 맵을 생성하는 데 사용됩니다.
ethers 항목에 대한 NIS 맵을 구성하려면 다음을 수행합니다.
  1. MAC address 속성을 호스트 항목에 추가합니다. 예를 들어 다음과 같습니다.
    [jsmith@server ~]$ kinit admin
    [jsmith@server ~]$ ipa host-mod --macaddress=12:34:56:78:9A:BC server.example.com
  2. nsswitch.conf 파일을 엽니다.
  3. ethers 서비스에 대한 행을 추가하고 조회에 LDAP를 사용하도록 설정합니다.
    ethers: ldap
  4. 클라이언트에서 ethers 정보를 사용할 수 있는지 확인합니다.
    [root@server ~]# getent ethers server.example.com

13장. 사용자 및 호스트 그룹 관리

13.1. IdM에서 사용자 및 호스트 그룹 작업 방식

13.1.1. 사용자 및 호스트 그룹의 정의

사용자 그룹은 공통 권한, 암호 정책 및 기타 특성을 가진 사용자 집합입니다.
호스트 그룹은 일반적인 액세스 제어 규칙과 기타 특성을 가진 IdM 호스트 집합입니다.
예를 들어 회사 부서, 물리적 위치 또는 액세스 제어 요구 사항에 대한 그룹을 정의할 수 있습니다.

13.1.2. 지원되는 그룹 멤버

IdM의 사용자 그룹은 다음을 포함할 수 있습니다.
  • IdM 사용자
  • 기타 IdM 사용자 그룹
  • IdM 외부에 존재하는 외부 사용자
IdM의 호스트 그룹은 다음을 포함할 수 있습니다.
  • IdM 서버 및 클라이언트
  • 기타 IdM 호스트 그룹

13.1.3. 직접 및 간접 그룹 멤버

IdM의 사용자 및 호스트 그룹 속성은 직접 및 간접 멤버 모두에 적용됩니다. B 그룹이 A 그룹의 멤버인 경우 B 그룹의 모든 사용자는 A 그룹의 멤버로 간주됩니다.
예를 들면 그림 13.1. “직접 및 간접 그룹 멤버쉽” 에서 다음을 수행합니다.
  • 사용자 1 및 사용자 2는 A 그룹의 직접 구성원 입니다.
  • 사용자 3, 사용자 4 및 사용자 5는 A 그룹의 간접 구성원 입니다.

그림 13.1. 직접 및 간접 그룹 멤버쉽

직접 및 간접 그룹 멤버쉽
사용자 그룹 A에 대한 암호 정책을 설정한 경우 정책은 사용자 그룹 B의 모든 사용자에게도 적용됩니다.

예 13.1. 직접 및 간접 그룹 멤버 보기

  1. group_Agroup_B 그룹 두 그룹을 생성합니다. 13.2절. “사용자 또는 호스트 그룹 추가 및 제거” 참조하십시오.
  2. 추가:
    • group_A의 멤버인 한 사용자
    • group_B의 멤버인 또 다른 사용자
    • group_Bgroup_A의 멤버로
  3. 웹 UI에서 다음을 수행합니다. IdentityGroups 를 선택합니다. 왼쪽의 사이드 표시줄에 나열된 개별 그룹 유형에서 User Groups 를 선택하고 group_A 의 이름을 클릭합니다. 직접 멤버십과 Indirect Membership 간에 전환하십시오.

    그림 13.2. 간접 및 직접 멤버

    간접 및 직접 멤버
  4. 명령줄에서 다음을 수행합니다. ipa group-show 명령을 사용합니다.
    $ ipa group-show group_A
      ...
      Member users: user_1
      Member groups: group_B
      Indirect Member users: user_2
간접 멤버 목록에는 신뢰할 수 있는 Active Directory 도메인의 외부 사용자가 포함되지 않습니다. Active Directory 신뢰 사용자 오브젝트는 IdM 내에 LDAP 오브젝트로 존재하지 않기 때문에 IdM 인터페이스에 표시되지 않습니다.

13.1.4. IdM의 사용자 그룹 유형

POSIX 그룹 (기본값)
POSIX 그룹은 해당 멤버에 대해 POSIX 속성을 지원합니다. Active Directory와 상호 작용하는 그룹은 POSIX 속성을 사용할 수 없습니다.
non-POSIX 그룹
이 유형의 모든 그룹 멤버는 IdM 도메인에 속해야 합니다.
외부 그룹
외부 그룹을 사용하면 IdM 도메인 외부의 ID 저장소에 존재하는 그룹 멤버를 추가할 수 있습니다. 외부 저장소는 로컬 시스템, Active Directory 도메인 또는 디렉터리 서비스일 수 있습니다.
비POSIX 및 외부 그룹은 POSIX 특성을 지원하지 않습니다. 예를 들어 이러한 그룹에는 GID가 정의되어 있지 않습니다.

예 13.2. 다양한 유형의 사용자 그룹 검색

  1. ipa group-find 명령을 실행하여 모든 사용자 그룹을 표시합니다.
  2. ipa group-find --posix 명령을 실행하여 모든 POSIX 그룹을 표시합니다.
  3. ipa group-find --nonposix 명령을 실행하여 모든 비POSIX 그룹을 표시합니다.
  4. ipa group-find --external 명령을 실행하여 모든 외부 그룹을 표시합니다.

13.1.5. 기본값으로 생성된 사용자 및 호스트 그룹

표 13.1. 기본값으로 생성된 사용자 및 호스트 그룹
그룹 이름 사용자 또는 호스트 기본 그룹 멤버
ipausers 사용자 그룹 모든 IdM 사용자
admins 사용자 그룹 처음 기본 admin 사용자인 관리자 권한이 있는 사용자
editors 사용자 그룹 관리 사용자의 모든 권한 없이 웹 UI에서 다른 IdM 사용자를 편집할 수 있는 사용자
신뢰 관리자 사용자 그룹 Active Directory 트러스트를 관리할 수 있는 권한이 있는 사용자
ipaservers 호스트 그룹 모든 IdM 서버 호스트
사용자 그룹에 사용자를 추가하면 그룹과 연결된 권한 및 정책을 적용합니다. 예를 들어 admins 그룹에 사용자를 추가하면 사용자에게 관리 권한이 부여됩니다.
주의
admins 그룹을 삭제하지 마십시오. admins 는 IdM에 필요한 사전 정의된 그룹이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다.
주의
ipaservers 호스트 그룹에 호스트를 추가할 때는 주의하십시오. ipaservers 의 모든 호스트에서는 IdM 서버로 승격할 수 있습니다.
또한 IdM에서 새 사용자가 생성될 때마다 기본적으로 사용자 개인 그룹을 생성합니다.
  • 사용자 개인 그룹의 이름은 해당 그룹이 생성된 사용자와 동일합니다.
  • 사용자는 사용자 개인 그룹의 유일한 멤버입니다.
  • 개인 그룹의 GID는 사용자의 UID와 일치합니다.

예 13.3. 사용자 개인 그룹 보기

ipa group-find --private 명령을 실행하여 모든 사용자 개인 그룹을 표시합니다.
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
경우에 따라 NIS 그룹 또는 다른 시스템 그룹이 사용자 개인 그룹에 할당될 GID를 이미 사용하는 경우와 같이 사용자 개인 그룹을 생성하지 않는 것이 좋습니다. 13.4절. “사용자 개인 그룹 비활성화” 참조하십시오.

13.2. 사용자 또는 호스트 그룹 추가 및 제거

그룹을 추가하려면 다음을 사용합니다.
IdM을 사용하면 사용자 그룹을 생성할 때 사용자 지정 GID를 지정할 수 있습니다. 이 경우 ID 충돌을 방지하려면 주의하십시오. 14.6절. “해당 ID 값이 고유하도록 확인” 참조하십시오. 사용자 지정 GID를 지정하지 않으면 IdM에서 사용 가능한 ID 범위에서 GID를 자동으로 할당합니다.
그룹을 제거하려면 다음을 사용합니다.
그룹을 제거해도 IdM에서 그룹 멤버가 삭제되지 않습니다.
웹 UI: 사용자 또는 호스트 그룹 추가
  1. IdentityGroups (ID 그룹)를 클릭하고 왼쪽 사이드바에서 사용자 그룹 또는 호스트 그룹을 선택합니다.
  2. 추가 를 클릭하여 그룹 추가를 시작합니다.
  3. 그룹에 대한 정보를 입력합니다.
    사용자 그룹 유형에 대한 자세한 내용은 13.1.4절. “IdM의 사용자 그룹 유형” 을 참조하십시오.
  4. 추가를 클릭하여 확인합니다.
명령줄: 사용자 또는 호스트 그룹 추가
  1. 관리자로 로그인합니다.
    $ kinit admin
  2. 사용자 그룹을 추가하려면 ipa group-add 명령을 사용합니다. 호스트 그룹을 추가하려면 ipa hostgroup-add 명령을 사용합니다.
    $ ipa group-add group_name
    -----------------------
    Added group "group_name"
    ------------------------
기본적으로 ipa group-add 는 POSIX 사용자 그룹을 추가합니다. 다른 그룹 유형을 지정하려면 ipa group-add 에 옵션을 추가합니다.
  • --nonposix: 비POSIX 그룹 생성
  • 외부 그룹을 만들 --external
그룹 유형에 대한 자세한 내용은 13.1.4절. “IdM의 사용자 그룹 유형” 을 참조하십시오.
웹 UI: 사용자 또는 호스트 그룹 제거
  1. IdentityGroups (ID 그룹)를 클릭하고 왼쪽 사이드바에서 사용자 그룹 또는 호스트 그룹을 선택합니다.
  2. 제거할 그룹을 선택하고 삭제 를 클릭합니다.
명령줄: 사용자 또는 호스트 그룹 제거
  1. 관리자로 로그인합니다.
    $ kinit admin
  2. 사용자 그룹을 삭제하려면 ipa group-del group_name 명령을 사용합니다. 호스트 그룹을 삭제하려면 ipa hostgroup-del group_name 명령을 사용합니다.
    $ ipa group-del group_name
    --------------------------
    Deleted group "group_name"
    --------------------------

13.3. 사용자 또는 호스트 그룹 멤버 추가 및 제거

사용자 그룹에 멤버를 추가하려면 다음을 사용할 수 있습니다.
중요
다른 사용자 그룹을 멤버로 추가할 때 재귀적 그룹을 만들지 마십시오. 예를 들어 그룹 A가 그룹 B의 멤버인 경우 그룹 B를 그룹 A의 멤버로 추가하지 마십시오. 재귀 그룹은 예측할 수 없는 동작을 일으킬 수 있습니다.
사용자 그룹에서 멤버를 제거하려면 다음을 사용할 수 있습니다.
참고
사용자 또는 호스트 그룹에 멤버를 추가한 후 ID 관리 환경의 모든 클라이언트에 배포하는 데 약간의 시간이 걸릴 수 있습니다. 이는 지정된 호스트가 사용자, 그룹 또는 넷 그룹을 확인하면 SSSD( System Security Services Daemon )가 먼저 캐시를 살펴보고 누락되거나 만료된 레코드에서만 서버 조회를 수행하기 때문입니다.
호스트 그룹에 즉시 적용되는 변경 사항을 확인하려면 캐시 제거 유틸리티인 sss_cache 를 사용하여 호스트에서 SSSD 캐시를 업데이트합니다. sss_cache 를 사용하여 호스트 그룹의 SSSD 캐시에 있는 현재 레코드를 무효화하면 SSSD 캐시에서 ID 공급자에서 업데이트된 레코드를 검색해야 하므로 변경 사항을 신속하게 실현할 수 있습니다.
SSSD 캐시에서 호스트 그룹 항목을 지우려면 다음을 수행합니다.
# sss_cache -n host_group_name
웹 UI: 사용자 또는 호스트 그룹에 멤버 추가
  1. IdentityGroups (ID 그룹)를 클릭하고 왼쪽 사이드바에서 사용자 그룹 또는 호스트 그룹을 선택합니다.
  2. 그룹 이름을 클릭합니다.
  3. 추가할 그룹 멤버 유형을 선택합니다. 예를 들어 사용자 그룹의 경우사용자, 사용자 그룹 또는 외부 입니다.

    그림 13.3. 사용자 그룹 멤버 추가

    사용자 그룹 멤버 추가
  4. 추가를 클릭합니다.
  5. 추가할 멤버를 선택하고 추가 를 클릭하여 확인합니다.
명령줄: 사용자 그룹에 멤버 추가
  1. 선택 사항입니다. ipa group-find 또는 ipa hostgroup-find 명령을 사용하여 그룹을 찾습니다.
  2. 사용자 그룹에 멤버를 추가하려면 ipa group-add-member 명령을 사용합니다. 호스트 그룹에 멤버를 추가하려면 ipa hostgroup-add-member 명령을 사용합니다.
    사용자 그룹 멤버를 추가할 때 다음 옵션을 사용하여 멤버를 지정합니다.
    • --users 는 IdM 사용자 추가
    • --external 은 IdM 도메인 외부에 있는 사용자를 DOMAIN\user_name 또는 user_name@domain형식으로 추가합니다.
    • --groups 는 IdM 사용자 그룹 추가
    호스트 그룹 멤버를 추가할 때 다음 옵션을 사용하여 멤버를 지정합니다.
    • --hosts 에서 IdM 호스트 추가
    • --groups 는 IdM 호스트 그룹 추가

    예 13.4. 사용자 그룹에 멤버를 추가하는 명령 예

    user1, user 2group1을 group _name이라는 그룹에 추가하려면 다음을 수행합니다.
    $ ipa group-add-member group_name --users=user1 --users=user2 --groups=group1
    ad_ domain 도메인에서 group_ name이라는 그룹에 ad _ user 를 추가하려면 외부 사용자를 지정하는 방법을 선택할 수 있습니다. 예를 들어 다음과 같습니다.
    $ ipa group-add-member group_name --external='AD_DOMAIN\ad_user'
    $ ipa group-add-member group_name --external='ad_user@AD_DOMAIN'
    $ ipa group-add-member group_name --external='ad_user@AD_DOMAIN.EXAMPLE.COM'
    
웹 UI: 사용자 그룹에서 멤버 제거
  1. IdentityGroups (ID 그룹)를 클릭하고 왼쪽 사이드바에서 사용자 그룹 또는 호스트 그룹을 선택합니다.
  2. 그룹 이름을 클릭합니다.
  3. 제거할 그룹 멤버 유형을 선택합니다. 예를 들어 사용자 그룹의 경우사용자, 사용자 그룹 또는 외부 입니다.

    그림 13.4. 사용자 그룹 멤버 제거

    사용자 그룹 멤버 제거
  4. 필요한 멤버 옆에 있는 확인란을 선택합니다.
  5. 삭제를 클릭합니다.
명령줄: 사용자 그룹에서 멤버 제거
  1. 선택 사항입니다. ipa group-show 또는 ipa hostgroup-show 명령을 사용하여 그룹에 삭제하려는 멤버가 포함되어 있는지 확인합니다.
  2. 사용자 그룹 멤버를 제거하려면 ipa group-remove-member 명령을 사용합니다. 호스트 그룹 멤버를 제거하려면 ipa hostgroup-remove-member 명령을 사용합니다.
    사용자 그룹 멤버를 제거할 때 다음 옵션을 사용하여 멤버를 지정합니다.
    • --users 에서 IdM 사용자 제거
    • --external 은 IdM 도메인 외부에 있는 사용자를 DOMAIN\user_name 또는 user_name@domain형식으로 제거합니다.
    • --groups 는 IdM 사용자 그룹을 제거
    호스트 그룹 멤버를 제거할 때 다음 옵션을 사용하여 멤버를 지정합니다.
    • --hosts 에서 IdM 호스트 제거
    • --groups 는 IdM 호스트 그룹을 제거
    예를 들어 user1, user 2group1을 group _name이라는 그룹에서 제거하려면 :
    $ ipa group-remove-member group_name --users=user1 --users=user2 --groups=group1

13.4. 사용자 개인 그룹 비활성화

IdM이 새 사용자의 기본 사용자 개인 그룹을 생성하지 않도록 하려면 다음 중 하나를 선택하십시오.
기본 사용자 개인 그룹 생성을 비활성화한 후에도 새 사용자를 추가할 때 IdM은 GID가 필요합니다. 사용자 추가가 성공했는지 확인하려면 13.4.3절. “사용자 개인 그룹을 사용하여 사용자 추가 비활성화” 을 참조하십시오.
참고
GID 충돌로 인해 기본 사용자 개인 그룹 생성을 비활성화하려면 기본 UID 및 GID 할당 범위를 변경하는 것이 좋습니다. 14장. 고유한 UID 및 GID 번호 할당 참조하십시오.

13.4.1. 사용자 개인 그룹이 없는 사용자 만들기

ipa user-add 명령에 --noprivate 옵션을 추가합니다. 명령이 성공하려면 사용자 지정 개인 그룹을 지정해야 합니다. 13.4.3절. “사용자 개인 그룹을 사용하여 사용자 추가 비활성화” 참조하십시오.

13.4.2. 모든 사용자에 대해 전역적으로 사용자 개인 그룹 비활성화

  1. 관리자로 로그인합니다.
    $ kinit admin
  2. IdM은 Directory Server Managed Entries 플러그인을 사용하여 사용자 개인 그룹을 관리합니다. 플러그인의 인스턴스를 나열합니다.
    $ ipa-managed-entries --list
  3. IdM에서 사용자 개인 그룹을 생성하지 않도록 하려면 사용자 개인 그룹 관리를 담당하는 플러그인 인스턴스를 비활성화합니다.
    $ ipa-managed-entries -e "UPG Definition" disable
    Disabling Plugin
    참고
    나중에 UPG 정의 인스턴스를 다시 활성화하려면 ipa-managed-entries -e "UPG Definition" enable 명령을 사용하십시오.
  4. Directory Server를 다시 시작하여 새 구성을 로드합니다.
    # systemctl restart dirsrv.target

13.4.3. 사용자 개인 그룹을 사용하여 사용자 추가 비활성화

기본 사용자 개인 그룹을 생성할 때 새 사용자를 추가하는 것이 성공했는지 확인하려면 다음 중 하나를 선택하십시오.
  • 새 사용자를 추가할 때 사용자 지정 GID를 지정합니다. GID는 이미 존재하는 사용자 그룹에 해당하지 않아도 됩니다.
    예를 들어 명령줄에서 사용자를 추가할 때 ipa user-add 명령에 --gid 옵션을 추가합니다.
  • automember 규칙을 사용하여 사용자를 GID가 있는 기존 그룹에 추가합니다. 13.6절. “사용자 및 호스트에 대한 자동 그룹 멤버십 정의” 참조하십시오.

13.5. 사용자 및 사용자 그룹에 대한 검색 속성 설정

ipa user-find keywordipa group-find keyword 명령을 사용하여 지정된 키워드에 대한 항목을 검색하는 경우 IdM은 특정 특성만 검색합니다. 가장 중요한 것은 다음과 같습니다.
  • 사용자 검색: 이름, 성, 사용자 이름(로그인 ID), 작업 제목, 조직 단위, 전화 번호, UID, 이메일 주소.
  • 그룹 검색에서 그룹 이름, 설명.
다음 절차에서는 다른 특성을 검색하도록 IdM을 구성하는 방법을 보여줍니다. IdM은 항상 기본 속성을 검색합니다. 예를 들어, 작업 제목 속성을 사용자 검색 속성 목록에서 제거하더라도 IdM은 계속 사용자 제목을 검색합니다.
사전 요구 사항
새 특성을 추가하기 전에 이 속성의 LDAP 디렉터리에 해당 인덱스가 있는지 확인합니다. 대부분의 표준 LDAP 속성에는 LDAP의 인덱스가 있지만 사용자 지정 속성을 추가하려면 수동으로 인덱스를 생성해야 합니다. Red Hat Directory Server 10 관리 가이드표준 인덱스 생성을 참조하십시오.
웹 UI: 검색 속성 설정
  1. IPA 서버 구성을선택합니다.
  2. 사용자 옵션 영역에서 사용자 검색 필드의 사용자 검색 속성을 설정합니다.
  3. 그룹 옵션 영역에서 그룹 검색 필드에 그룹 검색 특성을 설정합니다.
  4. 페이지 상단에서 저장 을 클릭합니다.
명령줄: 검색 속성 설정
다음 옵션과 함께 ipa config-mod 명령을 사용합니다.
  • --usersearch 는 사용자의 새로운 검색 속성 목록을 정의합니다.
  • --groupsearch 는 그룹 검색 속성의 새 목록을 정의합니다.
예를 들어 다음과 같습니다.
$ ipa config-mod --usersearch="uid,givenname,sn,telephonenumber,ou,title"
$ ipa config-mod --groupsearch="cn,description"

13.6. 사용자 및 호스트에 대한 자동 그룹 멤버십 정의

13.6.1. IdM에서 자동 그룹 멤버십이 작동하는 방식

13.6.1.1. 자동 그룹 멤버쉽(Automatic Group Membership)이란 무엇입니까.
자동 그룹 멤버십을 사용하여 사용자 및 호스트를 해당 특성에 따라 그룹에 자동으로 할당할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.
  • 직원의 사용자 항목을 직원 관리자, 위치 또는 기타 속성에 따라 그룹으로 나눕니다.
  • 클래스, 위치 또는 기타 특성을 기반으로 호스트를 나눕니다.
  • 모든 사용자 또는 모든 호스트를 단일 글로벌 그룹에 추가합니다.
13.6.1.2. 자동 그룹 멤버쉽의 이점
그룹 멤버십을 수동으로 관리하는 오버헤드 감소
자동 그룹 멤버십을 사용하면 관리자가 더 이상 그룹에 사용자와 호스트를 수동으로 할당하지 않습니다.
사용자 및 호스트 관리의 일관성 개선
자동 그룹 멤버십을 사용하면 사용자와 호스트가 엄격하게 정의되고 자동으로 평가되는 기준에 따라 그룹에 할당됩니다.
그룹 기반 설정을 쉽게 관리
그룹에 대해 다양한 설정이 정의되고 개별 그룹 구성원(예: sudo 규칙, autoscale , access control)에 적용됩니다. 자동 그룹 멤버십을 사용하는 경우 사용자 및 호스트가 지정된 그룹에 자동으로 추가되므로 그룹 기반 설정을 쉽게 관리할 수 있습니다.
13.6.1.3. 자동 메모리 규칙
자동 그룹 멤버십을 구성할 때 관리자는 automember 규칙을 정의합니다. 자동 관리 규칙은 특정 사용자 또는 호스트 그룹에 적용됩니다. 여기에는 사용자 또는 호스트가 그룹에서 포함되거나 제외되기 위해 충족해야 하는 조건이 포함됩니다.
조건 포함
사용자 또는 호스트 항목이 포함 조건을 충족하면 그룹에 포함됩니다.
배타적 조건
사용자 또는 host 항목이 배타적 조건을 충족하는 경우 그룹에 포함되지 않습니다.
조건은 Perl 호환 정규식(PCRE) 형식에서 정규 표현식으로 지정됩니다. PCRE에 대한 자세한 내용은 pcresyntax(3) 매뉴얼 페이지를 참조하십시오.
IdM은 포함 조건을 포함하기 전에 독점 조건을 평가합니다. 충돌이 발생할 경우 독점 조건이 포함 조건보다 우선합니다.

13.6.2. 자동 메모리 규칙 추가

다음을 사용하여 automember 규칙을 추가하려면 다음을 수행합니다.
automember 규칙을 추가한 후 다음을 수행합니다.
웹 UI: 자동 메모리 규칙 추가
  1. IdentityAutomemberUser group rules 또는 Host group rules 을 선택합니다.
  2. 추가를 클릭합니다.
  3. Automember rule 필드에서 규칙이 적용될 그룹을 선택합니다. 추가 및 편집을 클릭합니다.
  4. 하나 이상의 포괄적 조건과 배타적 조건을 정의합니다. 자세한 내용은 13.6.1.3절. “자동 메모리 규칙” 을 참조하십시오.
    1. 포함 또는 제외 섹션에서 추가 를 클릭합니다.
    2. 특성 필드에서 필수 특성을 선택합니다.
    3. Expression 필드에 정규식을 정의합니다.
    4. 추가를 클릭합니다.
    예를 들어 다음 조건은 사용자 로그인 속성(uid)에서 값(.*)을 사용하여 모든 사용자를 대상으로 합니다.

    그림 13.5. 자동 메모리 규칙 조건 추가

    자동 메모리 규칙 조건 추가
명령줄: 자