검색
지원콘솔개발자평가판 시작연락처

5.3.2. ActiveActive Directory HAT;Directory DNS 도메인의 IdM 클라이언트

download PDF
IdM과 ActiveActive Directory 6.7;Directory 간의 신뢰가 있는 일부 환경에서는 ActiveActive Directory HAT;Directory DNS 도메인의 일부인 호스트에 IdM 클라이언트를 설치할 수 있습니다. 그러면 호스트는 Linux 중심 IdM 기능을 활용할 수 있습니다.
중요
이는 권장되는 구성이 아니며 몇 가지 제한 사항이 있습니다. Red Hat은 항상 ActiveActive Directory illustrated;Directory가 소유한 것과 다른 DNS 영역에 IdM 클라이언트를 배포하고 IdM 호스트 이름을 통해 IdM 클라이언트에 액세스하는 것이 좋습니다.

5.3.2.1. IdM 클라이언트의 Kerberos Single Sign-on이 필요하지 않음

ActiveActive Directory HAT;Directory DNS 도메인에 설정된 IdM 클라이언트의 경우, 이 IdM 호스트의 리소스에 액세스할 수 있는 암호 인증만 사용할 수 있습니다. 이 시나리오에 맞게 클라이언트를 구성하려면 다음을 수행합니다.
  1. 클라이언트의 SSSD(System Security Service Daemon)가 IdM 서버와 통신할 수 있도록 --domain=IPA_DNS_Domain 옵션으로 IdM 클라이언트를 설치합니다. 
    [root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
    이 옵션은 ActiveActive Directory qcow;Directory DNS 도메인에 대한 SRV 레코드 자동 감지를 비활성화합니다.
  2. /etc/krb5.conf 구성 파일의 [domain_realm] 섹션에서 ActiveActive Directory HAT;Directory 도메인의 기존 매핑을 찾습니다. 
    .ad.example.com = IDM.EXAMPLE.COM
ad.example.com = IDM.EXAMPLE.COM
    두 행을 ActiveActive Directory HAT;Directory DNS 영역의 Linux 클라이언트 FQDN(정규화된 도메인 이름)의 매핑 항목으로 바꿉니다. 
    idm-client.ad.example.com = IDM.EXAMPLE.COM
    기본 매핑을 대체하면 Kerberos가 ActiveActive Directory QCOW;Directory 도메인에 대한 요청을 IdM Kerberos 배포 센터(KDC)로 전송하지 않습니다. 대신 Kerberos는 SRV DNS 레코드를 통한 자동 검색을 사용하여 KDC를 찾습니다. 추가된 호스트 idm-client.ad.example.com 에만 IdMNetworkPolicy가 설정됩니다.
참고
IdM 소유 DNS 영역에 없는 클라이언트의 리소스에 인증하는 것은 사용자 이름과 암호를 사용하는 경우에만 가능합니다.

SSL 인증서 처리

SSL 기반 서비스에는 원본(A/AAAA)과 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 포함하는 dNSName 확장 레코드가 있는 인증서가 필요합니다. 현재 IdM은 IdM 데이터베이스의 오브젝트를 호스트하는 인증서만 발행합니다.
Single Sign-On을 사용할 수 없는 설정에서 IdM에는 이미 데이터베이스의 FQDN에 대한 호스트 오브젝트가 있으며 certmonger 는 이 이름에 대한 인증서를 요청할 수 있습니다. 
[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=ipa-client.ad.example.com \
      -D ipa-client.ad.example.com \
      -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth
certmonger 서비스는 /etc/krb5.keytab 파일에 저장된 기본 호스트 키를 사용하여 IdM CA(인증 기관)에 인증합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.