지원콘솔개발자평가판 시작연락처

5.3.7.2. 암호가 없는 SSH 사용

로컬 인증을 위한 localauth Kerberos 플러그인을 사용하면 Kerberos 주체가 로컬 SSSD 사용자 이름에 자동으로 매핑됩니다. localauth 를 사용하면 신뢰할 수 있는 AD 도메인의 Windows 사용자에게 Kerberos를 사용하여 로그인할 때 암호를 입력하라는 메시지가 표시되지 않으므로 암호 없이 SSH를 사용할 수 있습니다.
플러그인은 여러 영역과 신뢰에 걸쳐 안정적인 매핑 메커니즘을 제공합니다. sssd 가 Kerberos 라이브러리에 연결하여 주체를 로컬 POSIX ID에 매핑하면 SSSD 플러그인은 IdM에 정의된 신뢰 계약에 따라 매핑합니다.
특정 상황에서는 SSH 베스천 호스트를 사용하여 다른 Red Hat Enterprise Linux {;Hat EnterpriseRed Hat Enterprise LinuxLINUX;Linux 시스템에 액세스합니다. 기본적으로 Kerberos를 사용하여 bastion 호스트에서 SSH에 인증하는 경우 Kerberos 티켓을 전달하여 Kerberos를 다른 Red Hat Enterprise Linux QCOW;Hat EnterpriseRed Hat Enterprise Linux Kernel;Linux 호스트에 인증할 수 없습니다. 이러한 전달 인증을 활성화하려면 bastions 호스트 주체에 OK_AS_DELEGATE Kerberos 플래그를 추가합니다. 
# ipa host-mod bastion_host.idm.example.com --ok-as-delegate=true

Red Hat Enterprise Linux Long;Hat EnterpriseRed Hat Enterprise Linux 6.7;Linux 7.1 이상 시스템에 대한 AD 사용자용 Kerberos 인증

Red Hat Enterprise Linux QCOW;Hat EnterpriseRed Hat Enterprise Linux 7.1 이상 시스템에서는 SSSD가 localauth Kerberos 플러그인을 자동으로 구성합니다.
SSSD를 사용하면 user@AD.DOMAIN,ad.domain\userAD\user 형식의 사용자 이름을 사용할 수 있습니다.
참고
localauth 가 있는 시스템에서는 /etc/krb5.conf 파일에 auth_to_local 옵션을 설정하거나 .k5login 파일의 Kerberos 주체를 나열할 필요는 없습니다. localauth 플러그인을 사용하면 이전에 암호 없이 로그인에 사용한 구성이 더 이상 사용되지 않습니다.

AD 사용자를 위한 Kerberos 인증 수동 구성

localauth 플러그인이 없는 시스템에서 SSH는 사용자가 적절한 Kerberos 티켓을 얻을 때에도 ActiveActive Directory HAT;Directory 도메인 사용자에 대한 사용자 암호를 묻는 메시지를 표시합니다.
Active Directory 사용자가 인증에 Kerberos를 사용하도록 하려면 /etc/krb5.conf 파일에서 auth_to_local 옵션을 구성하거나 사용자의 홈 디렉터리에 있는 .k5login 파일의 사용자 Kerberos 주체를 나열합니다.
/etc/krb5.conf구성
다음 절차에서는 Kerberos 구성에서 영역 매핑을 구성하는 방법을 설명합니다.
  1. /etc/krb5.conf 파일을 엽니다.
  2. [realms] 섹션에서 IdM 영역을 이름으로 식별한 다음 두 개의 auth_to_local 행을 추가하여 Kerberos 주체 이름 매핑을 정의합니다.
    • 한 규칙에서는 서로 다른 Active Directory 사용자 이름 형식과 특정 Active Directory 도메인을 매핑하는 규칙을 포함합니다.
    • 다른 규칙에서는 표준 Unix 사용자 이름에 대해 DEFAULT 의 값을 설정합니다.
    예를 들면 다음과 같습니다. 
    [realms]
IDM = {
....
auth_to_local = RULE:[1:$1@$0](^.*@ADDOMAIN$)s/@ADDOMAIN/@addomain/
auth_to_local = DEFAULT
}
  3. mtls 서비스를 다시 시작합니다. 
    [root@server ~]# systemctl restart krb5kdc.service
auth_to_local 옵션을 사용하여 Kerberos 인증을 구성하는 경우 SSH 액세스에 사용된 사용자 이름이 다음 기준을 충족해야 합니다.
  • 사용자 이름은 ad_user@ad_domain 형식이어야 합니다.
  • 도메인 이름은 소문자여야 합니다.
  • 사용자 이름의 사례는 ActiveActive Directory}};Directory의 사용자 이름과 일치해야 합니다. 예를 들어 사용자와 사용자는 다른 사례 때문에 다른 사용자로 간주됩니다.
auth_to_local 설정에 대한 자세한 내용은 krb5.conf(5) 도움말 페이지를 참조하십시오.
.k5login구성
다음 절차에서는 로컬 사용자 이름의 Kerberos 사용자 이름을 찾도록 시스템을 구성합니다.
  1. 사용자의 홈 디렉터리에 .k5login 파일을 만듭니다.
  2. 파일에서 사용자가 사용하는 Kerberos 주체를 나열합니다.
인증 사용자가 기존 Kerberos 티켓의 주체와 일치하는 경우 사용자는 티켓을 사용하여 로그인할 수 있으며 암호를 입력하라는 메시지가 표시되지 않습니다.
.k5login 구성을 사용하여 Kerberos 인증을 구성하는 경우 SSH 액세스에 사용되는 사용자 이름에 ad_user@ad_domain 형식이 있어야 합니다.
.k5login 파일 구성에 대한 자세한 내용은 .k5login(5) 도움말 페이지를 참조하십시오.
이러한 구성 절차 중 하나를 사용하면 AD 사용자가 Kerberos를 사용하여 로그인할 수 있습니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.