6.6.2. 암호 동기화 설정
Windows 암호를 동기화하려면 ActiveActive Directory qcow;Directory 도메인의 모든 도메인 컨트롤러에 Password Synchronization Service를 설치합니다.
RedHat-PassSync-*.msi
파일을 Active Directory 도메인 컨트롤러로 다운로드합니다.- 고객 포털에 로그인합니다.
- 페이지 상단에서 다운로드를 클릭합니다.
- 제품 목록에서 Red Hat Enterprise Linux QCOW;Hat EnterpriseRed Hat Enterprise Linux Kernel;Linux 를 선택합니다.
- 최신 Red Hat Enterprise Linux 기준 Red Hat Enterprise Linux HAT;Hat Enterprise Linux Red Hat Enterprise Linux 6 또는 Red Hat Enterprise Linuxrich;Hat EnterpriseRed Hat Enterprise Linux HAT;Linux 7 및 아키텍처를 선택합니다.
- WinSync 설치 프로그램을 다운로드합니다.다운로드 버튼을 클릭하여 ActiveActive Directory qcow;Directory 도메인 컨트롤러의 아키텍처에 대한
- ProfileBundle 파일을
두
번 클릭하여 설치합니다. - 암호 동기화 설정 창이 표시됩니다. 다음을 눌러 설치를 시작합니다.
- 정보를 입력하여 IdM 서버에 대한 연결을 설정합니다.
- 호스트 이름 및 보안 포트 번호를 포함한 IdM 서버 연결 정보입니다.
- ActiveActive Directory qcow;Directory에서 IdM 시스템에 연결하는 데 사용하는 시스템 사용자의 사용자 이름입니다. 이 계정은 IdM 서버에 동기화가 구성된 경우 자동으로 구성됩니다. 기본 계정은 uid=passsync,cn=sysaccounts,cn=etc,dc=example,dc=com 입니다.
- 동기화 계약이 생성된 경우
--passsync
옵션에 설정된 암호입니다. - IdM 서버에서 people 하위 트리의 검색 기반입니다. ActiveActive Directory {{;Directory 서버는 ldapsearch 또는 복제 작업과 유사한 IdM 서버에 연결하므로 사용자 계정을 찾기 위해 IdM 하위 트리의 위치를 알아야 합니다. 사용자 하위 트리는 cn=users,cn=accounts,dc=example,dc=com 입니다.
- 인증서 토큰은 현재 사용되지 않으므로 필드를 비워야 합니다.
- IdM 서버의 CA 인증서를 PassSync 인증서 저장소로 가져옵니다.
http://ipa.example.com/ipa/config/ca.crt
에서 IdM 서버의 CA 인증서를 다운로드합니다.- IdM CA 인증서를 ActiveActive Directory etcdctl;Directory 서버에 복사합니다.
- 암호 동기화 데이터베이스에 IdM CA 인증서를 설치합니다. 예를 들면 다음과 같습니다.
cd "C:\Program Files\Red Hat Directory Password Synchronization" certutil.exe -d . -A -n "IPASERVER.EXAMPLE.COM IPA CA" -t CT,, -a -i ipaca.crt
- Windows 머신을 재부팅하여 암호 동기화를 시작합니다.참고Windows 머신을 재부팅해야 합니다. 재부팅하지 않으면
PasswordHook.dll
이 활성화되지 않고 암호 동기화가 작동하지 않습니다. - 기존 계정의 암호를 동기화해야 하는 경우 사용자 암호를 재설정합니다.참고Password Synchronization 클라이언트는 암호 변경 사항을 캡처한 다음 ActiveActive Directory {{;Directory와 IdM 간에 동기화합니다. 즉, 새 암호 또는 암호 업데이트를 동기화합니다.IdM 및 ActiveActive Directory}};Directory에서 해시된 양식에 저장된 기존 암호는 암호 동기화 클라이언트를 설치할 때 암호를 해독하거나 동기화할 수 없으므로 기존 암호가 동기화되지 않습니다. 피어 서버 간 동기화를 시작하려면 사용자 암호를 변경해야 합니다.
Password Synchronization 애플리케이션이 설치될 때 발생한 암호를 동기화하려는 첫 번째 시도는 DirectoryDirectory Serverprovide;Server 및 Active Directory 동기화 피어 간의 SSL 연결로 인해 항상 실패합니다. 인증서 및 키 데이터베이스를 생성하는 도구는
.msi
와 함께 설치됩니다.
암호 동기화 클라이언트는 IdM
admin
그룹의 암호를 동기화할 수 없습니다. 이는 암호 동기화 에이전트 또는 하위 수준 관리자의 암호를 변경하여 최상위 관리자의 암호를 변경하는 것을 방지하기 위한 동작입니다.
참고
암호는 암호 정책과 일치하도록 동기화 소스에서만 유효성을 검사합니다. ActiveActive Directory QCOW;Directory 암호 복잡성 정책을 확인하고 활성화하려면 6.6.1절. “암호 동기화를 위한 Windows Server 설정” 을 참조하십시오.