5.3.2.2. IdM 클라이언트에 Kerberos Single Sign-On이 필요합니다.
IdM 클라이언트의 리소스에 액세스하기 위해 Kerberos Single Sign-on이 필요한 경우 클라이언트는 IdM DNS 도메인(예:
idm-client.idm.example.com ) 내에 있어야 합니다. IdM 클라이언트의 A/AAAA 레코드를 가리키는 ActiveActive Directory 6.7;Directory DNS 도메인에 CNAME 레코드 idm-client.ad.example.com 을 생성해야 합니다.
Kerberos 기반 애플리케이션 서버의 경우 MIT Kerberos는 애플리케이션의 키 탭에서 사용 가능한 호스트 기반 주체를 수락할 수 있는 방법을 지원합니다. Kerberos 서버를 대상으로 하는 Kerberos 주체에 대한 엄격한 확인을 비활성화하려면
/etc/krb5.conf 구성 파일의 [libdefaults] 섹션에 다음 옵션을 설정합니다.
ignore_acceptor_hostname = true
SSL 인증서 처리
SSL 기반 서비스에는 원본(A/AAAA)과 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 포함하는 dNSName 확장 레코드가 있는 인증서가 필요합니다. 현재 IdM은 IdM 데이터베이스의 오브젝트를 호스트하는 인증서만 발행합니다.
Single Sign-On을 사용할 수 없는 설정에서 IdM에는 이미 데이터베이스의 FQDN에 대한 호스트 오브젝트가 있으며
certmonger 는 이 이름에 대한 인증서를 요청할 수 있습니다.
- 새 호스트 오브젝트를 생성합니다.
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
호스트 이름은 A/AAAA 레코드가 아닌 CNAME이므로--force옵션을 사용합니다. - IdM DNS 호스트 이름을 사용하여 IdM 데이터베이스의 ActiveActive Directory 6.7;Directory 호스트 항목을 관리할 수 있습니다.
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
이 설정을 사용하면 IdM 클라이언트에서 ActiveActive Directory HAT;Directory DNS 도메인 내의 호스트 이름에 대한 dNSName 확장 레코드가 있는 SSL 인증서를 요청할 수 있습니다.
[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
-f /etc/httpd/alias/server.crt \
-k /etc/httpd/alias/server.key \
-N CN=`hostname --fqdn` \
-D `hostname --fqdn` \
-D idm-client.ad.example.com \
-K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
-U id-kp-serverAuth