5.2.2.2. 공유 보안을 사용하여 보안 생성


공유 보안은 신뢰할 수 있는 피어로 알려진 암호로, 다른 도메인에서 신뢰에 참여하는 데 사용할 수 있습니다. 공유 시크릿은 Active Directory(AD) 내에서 단방향 및 양방향 신뢰를 모두 구성할 수 있습니다. AD에서 공유 보안은 신뢰 구성 내의 신뢰할 수 있는 도메인 오브젝트 (TDO)로 저장됩니다.
IdM은 AD 관리자 자격 증명 대신 공유 시크릿을 사용하여 단방향 또는 양방향 신뢰 생성을 지원합니다. 이러한 신뢰를 설정하려면 관리자가 AD에서 공유 보안을 생성하고 AD 측에 대한 신뢰를 수동으로 검증해야 합니다.
5.2.2.2.1. 공유 보안을 사용하여 2-Way 보안 생성
Microsoft Windows Server 2012, 2012 R2 또는 2016과 함께 공유 보안을 사용하여 양방향 신뢰를 만들려면 다음을 수행합니다.
  1. 5.2.2.1.1절. “신뢰를 위한 IdM 서버 준비” 에 설명된 대로 신뢰할 수 있도록 IdM 서버를 준비합니다.
  2. IdM 및 AD 호스트가 두 도메인을 모두 확인할 수 없는 DNS 서버를 사용하는 경우 DNS 영역에 대한 전달을 설정합니다.
    1. IdM 도메인에 대한 쿼리를 IdM DNS 서버로 전달하도록 AD DNS 서버를 준비합니다. 자세한 내용은 5.2.1.7절. “AD에서 IdM 도메인용 Conditional Forwarder 생성”의 내용을 참조하십시오.
    2. AD 도메인에 대한 쿼리를 AD DNS 서버로 전달하도록 IdM DNS 서버를 준비합니다. 자세한 내용은 5.2.1.8절. “IdM에서 AD 도메인의 앞으로 영역 생성”의 내용을 참조하십시오.
  3. Active Directory 도메인 및 신뢰 콘솔에 대한 신뢰 구성. 특히 중요한 요인은 다음과 같습니다.
    • 새로운 신뢰를 만듭니다.
    • 신뢰에 IdM 도메인 이름(예: idm.example.com )을 지정합니다.
    • 이 값이 신뢰의 보호 유형임을 지정합니다.
    • 이 값이 양방향 유형의 신뢰임을 지정합니다.
    • 이 인증이 하이그 전체 인증임을 지정합니다.
    • 신뢰 암호 를 설정합니다.
      참고
      IdM에서 신뢰를 구성할 때 동일한 암호를 사용해야 합니다.
    들어오는 트러스트를 확인하라는 메시지가 표시되면 아니요 를 선택합니다.
  4. 5.2.2.1.2절. “신뢰 계약 생성” 에 설명된 대로 신뢰 계약을 만듭니다. ipa trust-add 명령을 실행하는 경우 --type,--trust-secret--two-way=True 옵션을 사용하고 --admin 옵션을 생략합니다. 예를 들면 다음과 같습니다.
    [root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --trust-secret --two-way=True
    Shared secret for the trust:
    -------------------------------------------------------
    Added Active Directory trust for realm "ad.example.com"
    -------------------------------------------------------
      Realm-Name: ad.example.com
      Domain NetBIOS name: AD
      Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
      SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6,
                              S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16,
                              S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11,
                              S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19, S-1-5-18
      SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6,
                              S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16,
                              S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11,
                              S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19, S-1-5-18
      Trust direction: Trusting forest
      Trust type: Active Directory domain
      Trust status: Waiting for confirmation by remote side
  5. 도메인 목록을 검색합니다.
    [root@ipaserver ~]# ipa trust-fetch-domains ad_domain
  6. IdM 서버에서 ipa trust-show 명령을 사용하여 신뢰 관계가 설정되어 있는지 확인합니다.
    [root@ipaserver ~]# ipa trust-show ad.example.com
    
      Domain NetBIOS name: AD
      Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
      Trust direction: Trusting forest
      Trust type: Active Directory domain
    
  7. 선택적으로 신뢰할 수 있는 도메인을 검색합니다.
    [root@ipaserver ~]# ipa trustdomain-find ad.example.com
    Domain name: ad.example.com
    Domain NetBIOS name: AD
    Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
    Domain enabled: True
  8. 5.2.2.1.3절. “Kerberos 구성 확인” 에 설명된 대로 Kerberos 구성을 확인합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.