5.3.9. Active Directory Kerberos 통신을 위한 Kerberos 배포 센터 프록시로 IdM 서버 구성
특정 상황에서 네트워크 제한 또는 방화벽 규칙은 IdM(Identity Management) 클라이언트가 AD(Active Directory) 도메인 컨트롤러의 포트 88로 Kerberos 트래픽을 전송하지 못하도록 합니다. 이 솔루션은 IdM 클라이언트에서 AD로 트래픽을 릴레이하기 위해 ID 관리 서버의 Kerberos 프록시를 설정하는 것입니다.
- IdM 클라이언트에서
/etc/krb5.conf파일의 [realms] 섹션에 Active Directory 영역을 추가합니다.kdc및kpasswd_server매개변수를 설정하여 IdM 서버의 정규화된 도메인 이름 뒤에/KdcProxy'를 가리키도록 설정합니다.AD.EXAMPLE.COM = { kdc = https://server.idm.example.com/KdcProxy kpasswd_server = https://server.idm.example.com/KdcProxy } - IdM 클라이언트에서 이전 단계의
/etc/krb5.conf사양을 재정의할 수 있는 /var/lib/ss/pubconf/kdcinfo.*/etc/sssd/sssd.conf파일을 편집하여 KnativeServing5_use_kdcinfo를False로 설정합니다.[domain/example.com] krb5_use_kdcinfo = False
- IdM 서버에서
/etc/ipa/kdcproxy/kdcproxy.conf파일에서use_dns옵션을true로 설정하여 DNS 서비스(SRV) 레코드를 사용하여 다음과 통신할 AD 서버를 찾습니다.use_dns = true
또는 DNS SRV 레코드를 사용하지 않으려면/etc/krb5.conf파일의 [realms] 섹션에 명시적 AD 서버를 추가합니다.AD.EXAMPLE.COM = { kdc = ad-server.ad.example.com kpasswd_server = ad-server.ad.example.com }참고스크립트를 실행하여 절차의 2단계와 3단계를 수행할 수 있습니다(예: Ansible 스크립트). 이 기능은 여러 시스템을 변경할 때 특히 유용합니다. - IdM 서버에서 IPA 서비스를 다시 시작합니다.
# ipactl restart
- 절차가 성공했는지 확인하려면 IdM 클라이언트에서 다음을 실행합니다.
# rm /var/lib/sss/pubconf/kdcinfo* # kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM: # klist Ticket cache: KEYRING:persistent:0:0 Default principal: ad_user@AD.EXAMPLE.COM Valid starting Expires Service principal [... output truncated ...]
