검색

5.3.2.2. IdM 클라이언트에 Kerberos Single Sign-On이 필요합니다.

download PDF
IdM 클라이언트의 리소스에 액세스하기 위해 Kerberos Single Sign-on이 필요한 경우 클라이언트는 IdM DNS 도메인(예: idm-client.idm.example.com ) 내에 있어야 합니다. IdM 클라이언트의 A/AAAA 레코드를 가리키는 ActiveActive Directory 6.7;Directory DNS 도메인에 CNAME 레코드 idm-client.ad.example.com 을 생성해야 합니다.
Kerberos 기반 애플리케이션 서버의 경우 MIT Kerberos는 애플리케이션의 키 탭에서 사용 가능한 호스트 기반 주체를 수락할 수 있는 방법을 지원합니다. Kerberos 서버를 대상으로 하는 Kerberos 주체에 대한 엄격한 확인을 비활성화하려면 /etc/krb5.conf 구성 파일의 [libdefaults] 섹션에 다음 옵션을 설정합니다.
ignore_acceptor_hostname = true

SSL 인증서 처리

SSL 기반 서비스에는 원본(A/AAAA)과 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 포함하는 dNSName 확장 레코드가 있는 인증서가 필요합니다. 현재 IdM은 IdM 데이터베이스의 오브젝트를 호스트하는 인증서만 발행합니다.
Single Sign-On을 사용할 수 없는 설정에서 IdM에는 이미 데이터베이스의 FQDN에 대한 호스트 오브젝트가 있으며 certmonger 는 이 이름에 대한 인증서를 요청할 수 있습니다.
  1. 새 호스트 오브젝트를 생성합니다.
    [root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
    호스트 이름은 A/AAAA 레코드가 아닌 CNAME이므로 --force 옵션을 사용합니다.
  2. IdM DNS 호스트 이름을 사용하여 IdM 데이터베이스의 ActiveActive Directory 6.7;Directory 호스트 항목을 관리할 수 있습니다.
    [root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
          --hosts=idm-client.idm.example.com
이 설정을 사용하면 IdM 클라이언트에서 ActiveActive Directory HAT;Directory DNS 도메인 내의 호스트 이름에 대한 dNSName 확장 레코드가 있는 SSL 인증서를 요청할 수 있습니다.
[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.