5.2.2. 신뢰 생성
다음 섹션에서는 다양한 구성 시나리오에서 신뢰 생성에 대해 설명합니다. 5.2.2.1절. “명령줄에서 신뢰 생성” 에는 명령줄에서 신뢰를 구성하기 위한 전체 절차가 포함되어 있습니다. 다른 섹션에서는 이 기본 구성 시나리오와 다른 단계를 설명하고 다른 모든 단계에 대한 기본 절차를 참조합니다.
참고
기존 신뢰 환경에서 복제본을 설정하면 복제본이 신뢰 컨트롤러로 자동 구성되지 않습니다. 복제본을 추가 신뢰 컨트롤러로 구성하려면 이 섹션의 절차를 따르십시오.
신뢰를 생성한 후 5.2.3절. “cross-forest Trusts에 대한 설치 후 고려 사항” 를 참조하십시오.
5.2.2.1. 명령줄에서 신뢰 생성
IdM과 Active Directory Kerberos 영역 간의 신뢰 관계를 생성하려면 다음 단계가 포함됩니다.
- 신뢰할 수 있도록 IdM 서버 준비 5.2.2.1.1절. “신뢰를 위한 IdM 서버 준비”
- 에 설명된 신뢰 계약서 만들기 5.2.2.1.2절. “신뢰 계약 생성”
- 에 설명된 Kerberos 구성 확인 5.2.2.1.3절. “Kerberos 구성 확인”
5.2.2.1.1. 신뢰를 위한 IdM 서버 준비
AD와의 신뢰 관계를 위해 IdM 서버를 설정하려면 다음 단계를 따르십시오.
- 필요한 IdM, 신뢰 및 Samba 패키지를 설치합니다.
[root@ipaserver ]# yum install ipa-server ipa-server-trust-ad samba-client
- 신뢰할 수 있는 서비스를 활성화하도록 IdM 서버를 구성합니다. ipa-replica-install --setup-adtrust 명령을 사용하여 서버를 설치한 경우 이 단계를 건너뛸 수 있습니다.
ipa-adtrust-install유틸리티를 실행합니다.[root@ipaserver ]# ipa-adtrust-install
유틸리티는 AD 신뢰에 필요한 DNS 서비스 레코드를 추가합니다. IdM이 통합된 DNS 서버와 함께 설치된 경우 이러한 레코드는 자동으로 생성됩니다.통합 DNS 서버 없이 IdM을 설치한 경우ipa-adtrust-install은 계속 진행하기 전에 DNS에 수동으로 추가해야 하는 서비스 레코드 목록을 출력합니다.중요Red Hat은 특히 IdM 또는 AD가 통합 DNS 서버를 사용하지 않는 경우, 특히ipa-adtrust-install을 실행한 후 “DNS 구성 확인” 에 설명된 DNS 구성을 확인하는 것이 좋습니다.- 스크립트는 이전 Linux 클라이언트가 신뢰할 수 있는 사용자와 함께 작업할 수 있는 호환성 플러그인인
slapi-nis플러그인을 구성하라는 메시지를 표시합니다.Do you want to enable support for trusted domains in Schema Compatibility plugin? This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users. Enable trusted domains support in slapi-nis? [no]: y
- 디렉터리가 처음 설치될 때 하나 이상의 사용자( IdM 관리자)가 존재합니다. InstallPlan 생성 작업은 기존 사용자가 신뢰 환경을 지원할 수 있는 SID를 생성할 수 있습니다. 이는 리소스를 많이 사용하는 작업입니다. 많은 사용자의 경우 별도로 실행할 수 있습니다.
Do you want to run the ipa-sidgen task? [no]: yes
- 5.2.1.2절. “DNS 및 realm 설정” 에 설명된 대로 DNS가 올바르게 구성되었는지 확인합니다.
- ClusterRole
서비스를시작합니다.[root@ipaserver ~]# systemctl start smb
- 필요한 경우 시스템이 부팅될 때 xfs 서비스가 자동으로 시작되도록 구성합니다.
[root@ipaserver ~]# systemctl enable smb
- 선택적으로 KubeMacPool
client 유틸리티를 사용하여 Samba가 IdM 측의 Kerberos 인증에 응답하는지 확인합니다.[root@ipaserver ~]# smbclient -L ipaserver.ipa.example.com -k lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 4.9.1) Reconnecting with SMB1 for workgroup listing. Server Comment --------- ------- Workgroup Master --------- -------
5.2.2.1.2. 신뢰 계약 생성
ipa trust-add 명령을 사용하여 Active Directory 도메인 및 IdM 도메인에 대한 신뢰 계약을 생성합니다.
# ipa trust-add --type=type ad_domain_name --admin ad_admin_username --password
ipa trust-add 명령은 기본적으로 단방향 신뢰를 설정합니다. RHEL 7에서 양방향 신뢰를 설정할 수 없습니다.
외부 신뢰를 설정하려면
--external=true 옵션을 ipa trust-add 명령에 전달합니다. 자세한 내용은 5.1.5절. “ActiveActive Directory illustrated;Directory에 대한 외부 신뢰” 을 참조하십시오.
참고
ipa trust-add 명령은 기본적으로 서버를 신뢰 컨트롤러로 구성합니다. 자세한 내용은 5.1.6절. “신뢰 컨트롤러 및 신뢰 에이전트” 을 참조하십시오.
다음 예제에서는
--two-way=true 옵션을 사용하여 양방향 신뢰를 설정합니다.
[root@ipaserver ~]# ipa trust-add --type=ad ad.example.com --admin Administrator --password --two-way=true
Active Directory domain administrator's password:
-------------------------------------------------------
Added Active Directory trust for realm "ad.example.com"
-------------------------------------------------------
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
SID blacklist incoming: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
SID blacklist outgoing: S-1-5-20, S-1-5-3, S-1-5-2, S-1-5-1, S-1-5-7, S-1-5-6, S-1-5-5, S-1-5-4, S-1-5-9, S-1-5-8, S-1-5-17, S-1-5-16, S-1-5-15, S-1-5-14, S-1-5-13, S-1-5-12, S-1-5-11, S-1-5-10, S-1-3, S-1-2, S-1-1, S-1-0, S-1-5-19,
S-1-5-18
Trust direction: Two-way trust
Trust type: Active Directory domain
Trust status: Established and verified5.2.2.1.3. Kerberos 구성 확인
Kerberos 구성을 확인하려면 IdM 사용자에 대한 티켓을 받을 수 있는지 여부와 IdM 사용자가 서비스 티켓을 요청할 수 있는지 테스트합니다.
양방향 신뢰를 확인하려면 다음을 수행하십시오.
- IdM 사용자에 대한 티켓을 요청합니다.
[root@ipaserver ~]# kinit user
- IdM 도메인 내의 서비스에 대한 서비스 티켓을 요청하십시오.
[root@ipaserver ~]# kvno -S host ipaserver.example.com
- AD 도메인 내에서 서비스에 대한 서비스 티켓을 요청합니다.
[root@ipaserver ~]# kvno -S cifs adserver.example.com
AD 서비스 티켓이 성공적으로 승인되면 요청된 다른 모든 티켓과 함께 TGT(Cross-realm ticket-granting ticket)가 표시됩니다. TGT의 이름은 RHEAt finish/AD.DOMAIN@IPA.DOMAIN입니다.[root@ipaserver ]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: user@IPA.DOMAIN Valid starting Expires Service principal 06/15/12 12:13:04 06/16/12 12:12:55 krbtgt/IPA.DOMAIN@IPA.DOMAIN 06/15/12 12:13:13 06/16/12 12:12:55 host/ipaserver.ipa.example.com@IPA.DOMAIN 06/15/12 12:13:23 06/16/12 12:12:55 krbtgt/AD.DOMAIN@IPA.DOMAIN 06/15/12 12:14:58 06/15/12 22:14:58 cifs/adserver.ad.example.com@AD.DOMAIN
IdM 측에서 단방향 트러스트를 확인하려면 다음을 수행하십시오.
- ActiveActive Directory HAT;Directory 사용자에 대한 티켓을 요청하십시오.
[root@ipaserver ~]# kinit user@AD.DOMAIN
- IdM 도메인 내의 서비스에 대한 서비스 티켓을 요청하십시오.
[root@ipaserver ~]# kvno -S host ipaserver.example.com
AD 서비스 티켓이 성공적으로 승인되면 요청된 다른 모든 티켓과 함께 TGT(Cross-realm ticket-granting ticket)가 표시됩니다. TGT의 이름은 RHEAt finish/IPA.DOMAIN@AD.DOMAIN입니다.[root@ipaserver ]# klist Ticket cache: KEYRING:persistent:0:krb_ccache_hRtox00 Default principal: user@AD.DOMAIN Valid starting Expires Service principal 03.05.2016 18:31:06 04.05.2016 04:31:01 host/ipaserver.ipa.example.com@IPA.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:06 04.05.2016 04:31:01 krbtgt/IPA.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00 03.05.2016 18:31:01 04.05.2016 04:31:01 krbtgt/AD.DOMAIN@AD.DOMAIN renew until 04.05.2016 18:31:00
localauth 플러그인은 Kerberos 사용자를 로컬 SSSD 사용자 이름에 매핑합니다. 이를 통해 AD 사용자는 Kerberos 인증을 사용하고 Linux 서비스에 액세스하여 GSSAPI 인증을 직접 지원할 수 있습니다.
참고
플러그인에 대한 자세한 내용은 5.3.7.2절. “암호가 없는 SSH 사용” 을 참조하십시오.
