Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

23.5. ID 관리에서의 PKINIT 스마트 카드 인증

Identity Management 사용자는 Identity Management에 연결된 데스크탑 클라이언트 시스템에 스마트 카드로 인증하고 TGT(Kerberos 티켓 승인 티켓)를 자동으로 받을 수 있습니다. 사용자는 클라이언트의 추가 SSO(Single Sign-On) 인증에 티켓을 사용할 수 있습니다.

23.5.1. PKINIT 인증을 위한 ID 관리 클라이언트 준비
링크 복사

ID 관리 관리자로서 사용자가 인증하려는 클라이언트에서 다음 단계를 수행하십시오.
  1. 서버에서 클라이언트를 구성할 쉘 스크립트를 만듭니다.
    1. ipa-advise config-client-for-smart-card-auth 명령을 사용하여 출력을 파일에 저장합니다. 
      # ipa-advise config-client-for-smart-card-auth > client_smart_card_script.sh
    2. 스크립트 파일을 열고 해당 콘텐츠를 검토합니다.
    3. 10.0.0.1 유틸리티를 사용하여 파일에 실행 권한 추가합니다. 
      # chmod +x client_smart_card_script.sh
  2. 스크립트를 클라이언트에 복사하고 실행합니다. 스마트 카드 인증서에 서명한 CA(인증 기관)를 사용하여 PEM 파일의 경로를 추가합니다. 
    # ./client_smart_card_script.sh CA_cert.pem
  3. the krb5-pkinit 패키지가 설치되어 있는지 확인합니다.
또한 외부 CA(인증 기관)가 스마트 카드의 인증서에 서명한 경우 스마트 카드 CA를 신뢰할 수 있는 CA로 추가합니다.
  1. Identity Management 서버에서 CA 인증서를 설치합니다. 
    # ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem
# ipa-certupdate
    모든 복제본 및 클라이언트에서도 ipa-certupdate 를 반복합니다.
  2. HTTP 서버를 다시 시작합니다. 
    # systemctl restart httpd
    모든 복제본에서 systemctl restart httpd 도 반복합니다.
참고
SSSD를 사용하면 관리자가 인증서에 정의된 OCSP(Online Certificate Status Protocol) 서버에 연결할 수 없는 경우와 같이 certificate_verification 매개변수를 사용하여 인증서 확인 프로세스를 조정할 수 있습니다. 자세한 내용은 sssd.conf(5) 매뉴얼 페이지를 참조하십시오.

23.5.2. ID 관리 사용자: ID 관리 클라이언트에서 PKINIT를 사용하여 인증
링크 복사

Identity Management 클라이언트에서 kinit 유틸리티를 사용하여 인증합니다. 
$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' idm_user
X 옵션은 opensc-pkcs11.so 모듈을 사전 인증 속성으로 지정합니다. 자세한 내용은 kinit(1) 매뉴얼 페이지를 참조하십시오.

사전 요구 사항

관리자는 Active Directory 사용자에 대한 PKINIT 인증을 지원하도록 환경을 구성합니다.
  • 스마트 카드 인증서를 발행한 CA(인증 기관)를 신뢰하도록 Active Directory 서버를 구성합니다. NTAuth 저장소에서 CA를 가져오고( Microsoft 지원참조) 신뢰할 수 있는 CA로 CA를 추가합니다. 자세한 내용은 Active Directory 설명서를 참조하십시오.
  • 스마트 카드 인증서를 발급한 CA를 신뢰하도록 Kerberos 클라이언트를 구성합니다.
    1. Identity Management 클라이언트에서 /etc/krb5.conf 파일을 엽니다.
    2. 파일에 다음 행을 추가합니다. 
      [libdefaults]
[... file truncated ...]
 pkinit_eku_checking = kpServerAuth
 pkinit_kdc_hostname = adserver.ad.domain.com
  • 사용자 인증서에 인증서 폐기 목록(CRL) 배포 지점 확장이 포함되어 있지 않은 경우 취소 오류를 무시하도록 Active Directory를 구성합니다.
    1. 다음 REG 형식 콘텐츠를 일반 텍스트 파일에 저장하고 파일을 두 번 클릭하여 Windows 레지스트리로 가져옵니다. 
      Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
"UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Kerberos\Parameters]
"UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001
      또는 regedit.exe 애플리케이션을 사용하여 값을 수동으로 설정합니다.
    2. Windows 시스템을 재부팅하여 변경 사항을 적용합니다.

절차

Identity Management 클라이언트에서 kinit 유틸리티를 사용하여 인증합니다. 사용자 이름과 도메인 이름을 사용하여 Active Directory 사용자를 지정합니다. 
$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COM
X 옵션은 opensc-pkcs11.so 모듈을 사전 인증 속성으로 지정합니다. 자세한 내용은 kinit(1) 매뉴얼 페이지를 참조하십시오.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

Legal Notice

Theme

© 2026 Red Hat맨 위로 이동