지원콘솔개발자평가판 시작연락처

5.7. 레거시 Linux 클라이언트에 대한 Active Directory 보안

Red Hat Enterprise Linux QCOW;Hat EnterpriseRed Hat Enterprise Linux marked;Linux with SSSD 버전 1.8 또는 이전 클라이언트(기존 클라이언트 )를 실행하는 Linux 클라이언트는 Active Directory와 함께 IdM 교차 신뢰에 대한 네이티브 지원을 제공하지 않습니다. 따라서 AD 사용자가 IdM 서버에서 제공하는 서비스에 액세스할 수 있으려면 레거시 Linux 클라이언트와 IdM 서버를 올바르게 구성해야 합니다.
LDAP 정보를 얻기 위해 SSSD 버전 1.9 이상을 사용하는 대신, 레거시 클라이언트는 이러한 목적을 위해 다른 유틸리티를 사용합니다(예: nss_ldap,ns-pam-ldapd 또는 SSSD 버전 1.8 이상). 다음 버전의 Red Hat Enterprise Linux QCOW;Hat EnterpriseRed Hat Enterprise Linux sl;Linux를 실행하는 클라이언트는 SSSD 1.9를 사용하지 않으므로 기존 클라이언트가 고려됩니다.
  • Red Hat Enterprise Linux {;Hat EnterpriseRed Hat Enterprise Linux Red Hat Enterprise Linux 5.7 이상
  • RedRed Hat Enterprise Linuxnbsp;Hat EnterpriseRed Hat Enterprise Linuxnbsp;Linux 6.0 – 6.3
중요
레거시 클라이언트가 아닌 클라이언트, 즉 SSSD 버전 1.9 이상을 실행하는 클라이언트의 경우 이 섹션에 설명된 구성을 사용하지 마십시오. SSSD 1.9 이상에서는 AD와의 IdM 간 신뢰에 대한 기본 지원을 제공합니다. 즉, AD 사용자는 추가 구성 없이 IdM 클라이언트에서 서비스에 적절하게 액세스할 수 있습니다.
기존 클라이언트가 AD와의 신뢰 관계를 통해 IdM 서버의 도메인에 참여하면 compat LDAP 트리 는 필요한 사용자 및 그룹 데이터를 AD 사용자에게 제공합니다. 그러나 compat 트리를 사용하면 AD 사용자가 제한된 수의 IdM 서비스에만 액세스할 수 있습니다.
기존 클라이언트는 다음 서비스에 대한 액세스를 제공하지 않습니다.
  • Kerberos 인증
  • HBAC(Host-based Access Control)
  • SELinux 사용자 매핑
  • sudo 규칙
레거시 클라이언트의 경우에도 다음 서비스에 대한 액세스가 제공됩니다.
  • 정보 조회
  • 암호 인증

5.7.1. 레거시 클라이언트에 대한 AD 트러스트용 서버 측 구성

IdM 서버가 다음 구성 요구 사항을 충족하는지 확인합니다.
  • IdM용 ipa-server 패키지 및 IdM 신뢰 애드온용 ipa-server-trust-ad 패키지가 설치되어 있습니다.
  • IdM 서버를 설정하기 위해 ipa-server-install 유틸리티가 실행되었습니다.
  • ipa-adtrust-install --enable-compat 명령이 실행되어 IdM 서버가 AD 도메인에 대한 트러스트를 지원하고 비교 LDAP 트리를 사용할 수 있습니다.
    이전에 --enable-compat 옵션 없이 ipa-adtrust-install 을 이미 실행한 경우, 이번에는 --enable-compat 을 추가합니다.
  • AD 신뢰를 구축하기 위해 ipa trust-add ad.example.org 명령이 실행되었습니다.
HBAC(Host-based access control) allow_all 규칙이 비활성화되면 IdM 서버에서 system-auth 서비스를 활성화하여 AD 사용자의 인증을 허용합니다.
ipa hbacrule-show 명령을 사용하여 명령줄에서 직접 allow_all 의 현재 상태를 확인할 수 있습니다. 규칙이 비활성화된 경우 Enabled: False 는 출력에 표시됩니다. 
[user@server ~]$ kinit admin
[user@server ~]$ ipa hbacrule-show allow_all
  Rule name: allow_all
  User category: all
  Host category: all
  Service category: all
  Description: Allow all users to access any host from any host
  Enabled: FALSE
참고
HBAC 규칙 비활성화 및 활성화에 대한 자세한 내용은 Linux 도메인 ID, 인증 및 정책 가이드에서 호스트 기반 액세스 제어 구성을 참조하십시오.
IdM 서버에서 system-auth 를 활성화하려면 system-auth 라는 HBAC 서비스를 생성하고 IdM 마스터에 대한 액세스 권한을 부여하기 위해 이 서비스를 사용하여 HBAC 규칙을 추가합니다. HBAC 서비스 및 규칙 추가는 Linux 도메인 ID, 인증 및 정책 가이드호스트 기반 액세스 제어 구성 섹션에 설명되어 있습니다. HBAC 서비스는 PAM 서비스 이름입니다. 새 PAM 서비스를 추가하는 경우 동일한 이름으로 HBAC 서비스를 생성한 다음 HBAC 규칙을 통해 이 서비스에 대한 액세스 권한을 부여해야 합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.