5.2. 대만의 신뢰 생성


5.2.1. 환경 및 머신 요구 사항

신뢰 계약을 구성하기 전에 ActiveActive DirectoryDirectory 및 Identity Management 서버, 시스템 및 환경이 이 섹션에 설명된 요구 사항과 설정을 모두 충족하는지 확인하십시오.

5.2.1.1. 지원되는 Windows 플랫폼

다음과 같은 섬기 및 도메인 기능 수준을 사용하는 ActiveActive Directory Long;Directory forests와의 신뢰 관계를 설정할 수 있습니다.
  • 포리스트 기능 수준 범위: Windows Server 2008 - Windows Server 2016
  • 도메인 기능 수준 범위: Windows Server 2008 - Windows Server 2016
다음과 같은 운영 체제가 언급 된 기능 수준을 사용하여 신뢰를 설정하기 위해 지원 및 테스트됩니다.
  • Windows Server 2012 R2
  • Windows Server 2016
이전 버전의 Windows Server는 신뢰를 설정하는 데 지원되지 않습니다.

5.2.1.2. DNS 및 realm 설정

신뢰를 구축하기 위해 Active Directory 및 Identity Management에는 특정 DNS 구성이 필요합니다.
고유한 기본 DNS 도메인
각 시스템에는 고유한 기본 DNS 도메인이 구성되어 있어야 합니다. 예를 들면 다음과 같습니다.
  • ad.example.com for AD 및 idm.example.com for IdM
  • AD의 경우 example.com 및 IdM용 idm.example.com
  • ad.example.com for AD 및 example.com for IdM
    중요
    IdM 도메인이 AD 도메인의 상위 도메인인 경우 IdM 서버를 Red Hat Enterprise Linux 7.5 이상에서 실행해야 합니다.
가장 편리한 관리 솔루션은 각 DNS 도메인이 통합된 DNS 서버에서 관리되지만 다른 표준 호환 DNS 서버도 사용할 수 있는 환경입니다.
ID 관리를 위해 AD 또는 IdM이 기본 DNS 도메인을 다른 시스템과 공유할 수 없습니다. 자세한 내용은 Linux 도메인 ID, 인증 및 정책 가이드 의 호스트 이름 및 DNS 구성 요구 사항에 대한 설명서를 참조하십시오.
Kerberos 영역 이름: 기본 DNS 도메인 이름의 대문자 버전
Kerberos 영역 이름은 모든 문자 대문자와 기본 DNS 도메인 이름과 동일해야 합니다. 예를 들어 도메인 이름이 AD용 ad.example.com 이고 IdM용 idm.example.com 인 경우 Kerberos 영역 이름은 AD.EXAMPLE.COMIDM.EXAMPLE.COM 여야 합니다.
신뢰의 모든 DNS 도메인에서 DNS 레코드를 확인할 수 있음
모든 머신은 신뢰 관계에 관련된 모든 DNS 도메인의 DNS 레코드를 확인할 수 있어야 합니다.
IdM과 AD DNS 도메인 간의 중복 없음
IdM에 연결된 시스템은 여러 DNS 도메인에 배포할 수 있습니다. IdM 클라이언트를 포함하는 DNS 도메인은 AD에 연결된 시스템이 포함된 DNS 도메인과 겹치지 않아야 합니다. 기본 IdM DNS 도메인에는 AD 트러스트를 지원하기 위해 적절한 SRV 레코드가 있어야 합니다.
참고
IdM과 ActiveActive Directory 6.7;Directory 간의 신뢰가 있는 일부 환경에서는 ActiveActive Directory HAT;Directory DNS 도메인의 일부인 호스트에 IdM 클라이언트를 설치할 수 있습니다. 그러면 호스트는 Linux 중심 IdM 기능을 활용할 수 있습니다. 이는 권장되는 구성이 아니며 몇 가지 제한 사항이 있습니다. Red Hat은 항상 ActiveActive Directory illustrated;Directory가 소유한 것과 다른 DNS 영역에 IdM 클라이언트를 배포하고 IdM 호스트 이름을 통해 IdM 클라이언트에 액세스하는 것이 좋습니다.
$ ipa dns-update-system- records --dry-run 명령을 실행하여 시스템 설정과 관련된 필수 SRV 레코드 목록을 가져올 수 있습니다.
생성된 목록은 다음과 같이 나타날 수 있습니다.
$ ipa dns-update-system-records --dry-run
 IPA DNS records:
  _kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
  _kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
  _kerberos._tcp.example.com. 86400 IN SRV 0 100 88 server.example.com.
  _kerberos._udp.example.com. 86400 IN SRV 0 100 88 server.example.com.
  _kerberos.example.com. 86400 IN TXT "EXAMPLE.COM"
  _kpasswd._tcp.example.com. 86400 IN SRV 0 100 464 server.example.com.
  _kpasswd._udp.example.com. 86400 IN SRV 0 100 464 server.example.com.
  _ldap._tcp.example.com. 86400 IN SRV 0 100 389 server.example.com.
  _ntp._udp.example.com. 86400 IN SRV 0 100 123 server.example.com.
동일한 IdM 영역에 속하는 다른 DNS 도메인의 경우 AD에 대한 신뢰가 구성될 때 SRV 레코드를 구성할 필요가 없습니다. 이유는 AD 도메인 컨트롤러에서 SRV 레코드를 사용하여 KDC 레코드를 검색하는 대신 신뢰의 이름 접미사 라우팅 정보를 KDC 검색에 기반하기 때문입니다.

DNS 구성 확인

신뢰를 구성하기 전에 Identity Management 및 Active Directory 서버가 서로 해결할 수 있는지 확인합니다.
아래에 설명된 명령을 실행해도 예상 결과가 표시되지 않으면 명령이 실행된 호스트에서 DNS 구성을 검사합니다. 호스트 구성이 올바르면 상위 도메인에서 하위 도메인으로 DNS 위임이 올바르게 설정되어 있는지 확인합니다.
따라서 AD는 DNS 조회 결과를 캐시하고 DNS에서 변경한 내용이 즉시 표시되지 않는 경우가 있습니다. ipconfig /flushdns 명령을 실행하여 현재 캐시를 삭제할 수 있습니다.
신뢰 설정에 사용되는 IdM 도메인 서버에서 IdM 호스트 서비스를 확인할 수 있는지 확인합니다.
  1. UDP를 통한 Kerberos 및 TCP 서비스 레코드를 통해 LDAP에 대한 DNS 쿼리를 실행합니다.
    [root@ipaserver ~]# dig +short -t SRV _kerberos._udp.ipa.example.com.
    0 100 88 ipamaster1.ipa.example.com.
    
    [root@ipaserver ~]# dig +short -t SRV _ldap._tcp.ipa.example.com.
    0 100 389 ipamaster1.ipa.example.com.
    명령에는 모든 IdM 서버가 나열되어야 합니다.
  2. IdM Kerberos 영역 이름으로 TXT 레코드에 대한 DNS 쿼리를 실행합니다. 얻은 값은 IdM을 설치할 때 지정한 Kerberos 영역과 일치해야 합니다.
    [root@ipaserver ~]# dig +short -t TXT _kerberos.ipa.example.com.
    IPA.EXAMPLE.COM
    
  3. 5.2.2.1.1절. “신뢰를 위한 IdM 서버 준비” 에 설명된 대로 ipa-adtrust-install 유틸리티를 실행한 후 UDP 및 LDAP over TCP 서비스 레코드에 대한 DNS 쿼리를 실행합니다.
    [root@ipaserver ~]# dig +short -t SRV _kerberos._udp.dc._msdcs.ipa.example.com.
    0 100 88 ipamaster1.ipa.example.com.
    
    [root@ipaserver ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ipa.example.com.
    0 100 389 ipamaster1.ipa.example.com.
    
    명령은 ipa-adtrust-install 이 실행된 모든 IdM 서버를 나열해야 합니다. 일반적으로 첫 번째 신뢰 관계를 구축하기 전에 ipa-adtrust-install 이 IdM 서버에서 실행되지 않은 경우 출력이 비어 있습니다.
IdM이 AD의 서비스 레코드를 확인할 수 있는지 확인
UDP를 통한 Kerberos 및 TCP 서비스 레코드를 통해 LDAP에 대한 DNS 쿼리를 실행합니다.
[root@ipaserver ~]# dig +short -t SRV _kerberos._udp.dc._msdcs.ad.example.com.
0 100 88 addc1.ad.example.com.

[root@ipaserver ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ad.example.com.
0 100 389 addc1.ad.example.com.
이러한 명령은 AD 도메인 컨트롤러의 이름을 반환해야 합니다.
AD 서버에서 IdM 호스트 서비스를 확인할 수 있는지 확인합니다.
  1. AD 서버에서 서비스 레코드를 조회하도록 nslookup.exe 유틸리티를 설정합니다.
    C:\>nslookup.exe
    > set type=SRV
    
  2. UDP를 통한 Kerberos의 도메인 이름과 TCP 서비스 레코드를 통한 LDAP를 입력합니다.
    > _kerberos._udp.ipa.example.com.
    _kerberos._udp.ipa.example.com.       SRV service location:
        priority                = 0
        weight                  = 100
        port                    = 88
        svr hostname   = ipamaster1.ipa.example.com
    > _ldap._tcp.ipa.example.com
    _ldap._tcp.ipa.example.com       SRV service location:
        priority                = 0
        weight                  = 100
        port                    = 389
        svr hostname   = ipamaster1.ipa.example.com
    
    예상되는 출력에는 신뢰 설정에 사용되는 IdM 도메인 서버에서 IdM 호스트 서비스를 확인할 수 있는지 확인합니다. 에 표시된 것과 동일한 IdM 서버 세트가 포함되어 있습니다.
  3. 서비스 유형을 TXT로 변경하고 IdM Kerberos 영역 이름을 사용하여 TXT 레코드에 대한 DNS 쿼리를 실행합니다.
    C:\>nslookup.exe
    > set type=TXT
    > _kerberos.ipa.example.com.
    _kerberos.ipa.example.com.        text =
    
        "IPA.EXAMPLE.COM"
    
  4. 5.2.2.1.1절. “신뢰를 위한 IdM 서버 준비” 에 설명된 대로 ipa-adtrust-install 유틸리티를 실행한 후 UDP 및 LDAP over TCP 서비스 레코드에 대한 DNS 쿼리를 실행합니다.
    C:\>nslookup.exe
    > set type=SRV
    > _kerberos._udp.dc._msdcs.ipa.example.com.
    _kerberos._udp.dc._msdcs.ipa.example.com.        SRV service location:
        priority = 0
        weight = 100
        port = 88
        svr hostname = ipamaster1.ipa.example.com
    > _ldap._tcp.dc._msdcs.ipa.example.com.
    _ldap._tcp.dc._msdcs.ipa.example.com.        SRV service location:
        priority = 0
        weight = 100
        port = 389
        svr hostname = ipamaster1.ipa.example.com
    
    명령은 ipa-adtrust-install 유틸리티가 실행된 모든 IdM 서버를 나열해야 합니다. 일반적으로 첫 번째 신뢰 관계를 구축하기 전에 ipa-adtrust-install 이 IdM 서버에서 실행되지 않은 경우 출력이 비어 있습니다.
AD 서버에서 AD 서비스를 확인할 수 있는지 확인합니다.
  1. AD 서버에서 서비스 레코드를 조회하도록 nslookup.exe 유틸리티를 설정합니다.
    C:\>nslookup.exe
    > set type=SRV
    
  2. UDP를 통한 Kerberos의 도메인 이름과 TCP 서비스 레코드를 통한 LDAP를 입력합니다.
    > _kerberos._udp.dc._msdcs.ad.example.com.
    _kerberos._udp.dc._msdcs.ad.example.com. 	SRV service location:
        priority = 0
        weight = 100
        port = 88
        svr hostname = addc1.ad.example.com
    > _ldap._tcp.dc._msdcs.ad.example.com.
    _ldap._tcp.dc._msdcs.ad.example.com. 	SRV service location:
        priority = 0
        weight = 100
        port = 389
        svr hostname = addc1.ad.example.com
    
    예상되는 출력에는 IdM이 AD의 서비스 레코드를 확인할 수 있는지 확인 에 표시된 것과 동일한 AD 서버 세트가 포함되어 있습니다.

5.2.1.3. NetBIOS Names

<.> name은 ActiveActive Directory Long;Directory (AD) 도메인을 식별하고 IdM 도메인 및 서비스를 식별하기 위해 AD로 구성된 신뢰가 있는 경우 중요합니다. 따라서est 신뢰를 설정하려는 AD 도메인에 사용된 수행하려면 IdM 도메인에 대해 다른ResourceOverride 이름을 사용해야 합니다.
ActiveActive Directory we;Directory 또는 IdM 도메인은 일반적으로 해당 DNS 도메인의 far-left 구성 요소입니다. 예를 들어 DNS 도메인이 ad.example.com 이면 일반적으로 AD 입니다.For example, if the DNS domain is ad.example.com.
참고
name의 최대 길이는 15자입니다.

5.2.1.4. 방화벽 및 포트

AD 도메인 컨트롤러와 IdM 서버 간의 통신을 활성화하려면 다음 포트 요구 사항을 충족해야 합니다.
표 5.2. AD Trust에 필요한 포트
Service 포트 프로토콜
끝점 확인 포트 매퍼 135 TCP
NetBIOS-DGM 138 TCP 및 UDP
NetBIOS-SSN 139 TCP 및 UDP
Microsoft-DS 445 TCP 및 UDP
끝점 매퍼 리스너 범위 1024-1300 TCP
AD 글로벌 카탈로그 3268 TCP
LDAP 389 TCP [a] 및 UDP
[a] 신뢰를 위해 IdM 서버에서 TCP 포트 389를 열 필요는 없지만 IdM 서버와 통신하는 클라이언트는 필요합니다.
표 5.3. 보안에서 IdM 서버에서 필요한 포트
Service 포트 프로토콜
Kerberos Linux 도메인 ID, 인증 및 정책 가이드포트 요구 사항을 참조하십시오.
LDAP
DNS
표 5.4. AD Trust에서 IdM 클라이언트가 필요로 하는 포트
Service 포트 프로토콜 참고
Kerberos 88 UDP 및 TCP
libkrb5 라이브러리는 UDP를 사용하고 Kerberos 배포 센터(KDC)에서 전송된 데이터가 너무 크면 TCP 프로토콜로 대체됩니다. ActiveActive Directory HAT;Directory는 Kerberos 티켓에 Privilege Attribute 인증서 (PAC)를 첨부하여 크기를 늘리고 대부분의 경우 TCP 프로토콜을 사용해야 합니다. Red Hat Enterprise Linux 7.4의 SSSD는 기본적으로 사용자 인증에 TCP를 사용합니다. libkrb5 가 TCP를 사용하기 전에 크기를 구성하려면 /etc/krb.5.conf 파일에 udp_preference_limit 를 설정합니다. 자세한 내용은 krb5.conf(5) 도움말 페이지를 참조하십시오.

추가 리소스

  • 필요한 포트를 여는 방법에 대한 자세한 내용은 Linux 도메인 ID, 인증 및 정책 가이드포트 요구 사항을 참조하십시오.

5.2.1.5. IPv6 설정

IdM 시스템에는 커널에서 IPv6 프로토콜이 활성화되어 있어야 합니다. IPv6이 비활성화되면 IdM 서비스에서 사용하는 CLDAP 플러그인이 초기화되지 않습니다.

5.2.1.6. 클럭 설정

ActiveActive Directory QCOW;Directory 서버와 IdM 서버에 시계가 동기화되어 있어야 합니다.

5.2.1.7. AD에서 IdM 도메인용 Conditional Forwarder 생성

IdM 도메인에 대한 쿼리를 IdM DNS 서버로 전달하도록 AD DNS 서버를 준비합니다.
  1. Windows AD 도메인 컨트롤러에서 AD(Active Directory) DNS 콘솔을 엽니다.
  2. Conditional Forwarder 를 마우스 오른쪽 버튼으로 클릭하고 New Conditional Forwarder 를 선택합니다.
  3. IdM DNS 도메인 이름 및 IdM DNS 서버의 IP 주소를 입력하십시오.
  4. Active Directory에서 이 조건부 전달자를 저장하고 다음과 같이 복제 한 다음 환경과 일치하는 복제 설정을 선택합니다.
  5. OK를 클릭합니다.
  6. AD 도메인 컨트롤러(DC)가 IdM 도메인에서 DNS 항목을 확인할 수 있는지 확인하려면 명령 프롬프트를 열고 다음을 입력합니다.
    C:\> nslookup server.idm.example.com
    명령에서 IdM 서버의 IP 주소를 반환하는 경우 조건부 전달자가 올바르게 작동합니다.

5.2.1.8. IdM에서 AD 도메인의 앞으로 영역 생성

AD 도메인에 대한 쿼리를 AD DNS 서버로 전달하려면 IdM DNS 서버를 준비합니다.
  1. IdM 서버에서 AD DNS 도메인에 대한 전달 영역 항목을 생성합니다. IdM에서 DNS 전달 영역 생성에 대한 자세한 내용은 Linux 도메인 ID, 인증 및 정책 가이드전달 영역 구성 섹션을 참조하십시오.
  2. AD DNS 서버가 DNSSEC를 지원하지 않는 경우 IdM 서버에서 DNSSEC 검증을 비활성화합니다.
    1. /etc/named.conf 파일을 편집하고 dnssec-validation 매개변수를 no 로 설정합니다.
      dnssec-validation no;
    2. named-pkcs11 서비스를 다시 시작하십시오.
      # systemctl restart named-pkcs11
  3. IdM 서버가 AD 도메인의 DNS 항목을 확인할 수 있는지 확인하려면 다음을 입력합니다.
    # host server.ad.example.com
    명령이 AD DC의 IP 주소를 반환하면 전달 영역이 올바르게 작동합니다.

5.2.1.9. 지원되는 사용자 이름 형식

IdM은 로컬 SSSD 클라이언트에서 사용자 이름 매핑을 수행합니다. SSSD에서 지원하는 신뢰할 수 있는 도메인에서 사용자의 기본 출력 사용자 이름 형식은 user_name@domain 입니다. ActiveActive Directory HAT;Directory는 user_name , user_name @DOMAIN_NAMEDOMAIN_NAME\user_name 등 다양한 종류의 이름 형식을 지원합니다.
사용자는 사용자 이름(user_name) 또는 정규화된 사용자 이름(user_name@domain_name)만 사용하여 시스템에 인증할 수 있습니다.
주의
보다 바람직하게는 동일한 사용자 이름이 여러 도메인에 있는 경우 충돌을 피하기 위해 정규화된 사용자 이름을 사용합니다.
사용자가 도메인을 제외한 사용자 이름만 지정하는 경우 SSSD는 /etc/sssd/sssd.conf 파일과 신뢰할 수 있는 도메인에 구성된 모든 도메인에서 계정을 검색합니다. 8.5.3절. “IdM 클라이언트의 도메인 확인 순서 구성” 에 설명된 도메인 확인 순서를 구성한 경우 SSSD는 정의된 순서로 사용자를 검색합니다. 어떠한 경우에도 SSSD는 발견된 첫 번째 항목을 사용합니다. 이로 인해 여러 도메인에 동일한 사용자 이름이 있고 발견된 첫 번째 항목이 예상되지 않은 경우 문제가 발생하거나 혼동될 수 있습니다.
기본적으로 SSSD는 항상 정규화된 형식으로 사용자 이름을 표시합니다. 형식 변경에 대한 자세한 내용은 5.5절. “SSSD로 표시되는 사용자 이름 형식 변경” 을 참조하십시오.
SSSD는 사용자 이름과 사용자 이름이 속하는 도메인을 식별하기 위해 re_expression 옵션에 정의된 정규식을 사용합니다. 정규식은 IdM 백엔드 또는 AD 백엔드에 사용되며 언급된 모든 형식을 지원합니다.
re_expression = (((?P<domain>[^\\]+)\\(?P<name>.+$))|((?P<name>[^@]+)@(?P<domain>.+$))|(^(?P<name>[^@\\]+)$))
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.