27.3. IdM에서 PKINIT 구성

IdM 서버가 PKINIT를 비활성화하여 실행 중인 경우 다음 단계를 사용하여 활성화합니다. 예를 들어 ipa-server-install 또는 ipa-replica-install 유틸리티를 사용하여 --no-pkinit 옵션을 전달하면 서버가 PKINIT를 비활성화하여 실행됩니다.

사전 요구 사항

CA(인증 기관)가 설치된 모든 IdM 서버가 동일한 도메인 수준에서 실행되고 있는지 확인합니다. 자세한 내용은 7장. 도메인 수준 표시 및 승격 을 참조하십시오.

절차

서버에서 PKINIT가 활성화되어 있는지 확인합니다.

kinit admin
Password for admin@IPA.TEST:
ipa pkinit-status --server=server.idm.example.com
----------------
1 server matched
----------------
Server name: server.idm.example.com
PKINIT status: enabled
----------------------------
Number of entries returned 1
----------------------------

# kinit admin
Password for admin@IPA.TEST:
# ipa pkinit-status --server=server.idm.example.com
----------------
1 server matched
----------------
Server name: server.idm.example.com
PKINIT status: enabled
----------------------------
Number of entries returned 1
----------------------------

Copy to Clipboard

Toggle word wrap

PKINIT가 비활성화된 경우 다음 출력이 표시됩니다.

ipa pkinit-status --server server.idm.example.com
-----------------
0 servers matched
-----------------
----------------------------
Number of entries returned 0
----------------------------

# ipa pkinit-status --server server.idm.example.com
-----------------
0 servers matched
-----------------
----------------------------
Number of entries returned 0
----------------------------

Copy to Clipboard

Toggle word wrap

--server <server_fqdn> 매개변수를 생략하면 명령을 사용하여 PKINIT가 활성화된 모든 서버 를 찾을 수도 있습니다.

CA 없이 IdM을 사용하는 경우:
1. IdM 서버에서 KDC(Kerberos 키 배포 센터) 인증서에 서명한 CA 인증서를 설치합니다.
```
ipa-cacert-manage install -t CT,C,C ca.pem
```
```
# ipa-cacert-manage install -t CT,C,C ca.pem
```
  Copy to Clipboard Toggle word wrap
2. 모든 IPA 호스트를 업데이트하려면 모든 복제본 및 클라이언트에서 ipa-certupdate 명령을 반복합니다.
```
ipa-certupdate
```
```
# ipa-certupdate
```
  Copy to Clipboard Toggle word wrap
3. ipa-cacert-manage list 명령을 사용하여 CA 인증서가 이미 추가되었는지 확인합니다. 예를 들어 다음과 같습니다.
```
ipa-cacert-manage list
CN=CA,O=Example Organization
The ipa-cacert-manage command was successful
```
```
# ipa-cacert-manage list
CN=CA,O=Example Organization
The ipa-cacert-manage command was successful
```
  Copy to Clipboard Toggle word wrap
4. ipa-server-certinstall 유틸리티를 사용하여 외부 KDC 인증서를 설치합니다. KDC 인증서는 다음 조건을 충족해야 합니다.
  - 일반 이름 CN=fully_qualified_domain_name,certificate_subject_base 로 발급됩니다.
  - Kerberos 보안 주체가 포함 됩니다./REALM_NAME@REALM_NAME.
  - KDC 인증을 위한 OID(Object Identifier)가 포함되어 있습니다. 1.3.6.1.5.2.3.5.
```
ipa-server-certinstall --kdc kdc.pem kdc.key
systemctl restart krb5kdc.service
```
```
# ipa-server-certinstall --kdc kdc.pem kdc.key
# systemctl restart krb5kdc.service
```
  Copy to Clipboard Toggle word wrap
5. PKINIT 상태를 참조하십시오.
```
ipa pkinit-status
  Server name: server1.example.com
  PKINIT status: enabled
  [...output truncated...]
  Server name: server2.example.com
  PKINIT status: disabled
  [...output truncated...]
```
```
# ipa pkinit-status
  Server name: server1.example.com
  PKINIT status: enabled
  [...output truncated...]
  Server name: server2.example.com
  PKINIT status: disabled
  [...output truncated...]
```
  Copy to Clipboard Toggle word wrap

CA 인증서가 있는 IdM을 사용하는 경우 다음과 같이 PKINIT를 활성화합니다.

ipa-pkinit-manage enable
  Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
  Done configuring Kerberos KDC (krb5kdc).
  The ipa-pkinit-manage command was successful

# ipa-pkinit-manage enable
  Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
  Done configuring Kerberos KDC (krb5kdc).
  The ipa-pkinit-manage command was successful

Copy to Clipboard

Toggle word wrap

IdM CA를 사용하는 경우 명령은 CA에서 PKINIT>-< 인증서를 요청합니다.

추가 리소스

자세한 내용은 ipa-server-certinstall(1) 매뉴얼 페이지를 참조하십시오.

27.3. IdM에서 PKINIT 구성

사전 요구 사항

절차

추가 리소스

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links