5.3. cross-forest Trust 환경 관리 및 구성
5.3.1. 신뢰할 수 있는 도메인 환경에서 사용자 계정 이름
IdM은 사용자 주체 이름(UPN)을 사용하여 로그인을 지원합니다. UPN은 인증할 사용자 이름의 대안이며
username@KERBEROS-REALM
형식입니다. ActiveActive Directory Long;Directory forest에서 추가 UPN 접미사를 구성할 수 있습니다. 이러한 엔터프라이즈 주체 이름은 기본 UPN에 대체 로그인을 제공하는 데 사용됩니다.
예를 들어, 회사에서 Kerberos 영역
AD.EXAMPLE.COM
을 사용하는 경우 사용자의 기본 UPN은 user@ad.example.com
입니다. 그러나 종종 회사에서 사용자가 user@example.com
와 같이 이메일 주소를 사용하여 로그인할 수 있기를 원합니다. 이 경우 관리자는 추가 UPN 접미사 example.com
을 ActiveActive Directory qcow;Directory forest에 추가하고 사용자 계정 속성에 새 접미사를 설정합니다.
AD forest 루트에 정의된 경우에만 IdM에 UPN 접미사가 표시됩니다. AD 관리자는 Active Directory 도메인 및 신뢰 유틸리티 또는 PowerShell 명령줄 도구를 사용하여 UPN을 정의할 수 있습니다.
참고
사용자에 대한 UPN 접미사를 구성하기 위해 Red Hat은 Active Directory 도메인 및 신뢰 유틸리티와 같은 오류 유효성 검사를 수행하는 툴을 사용할 것을 권장합니다.
Active Directory가 해당 작업의 유효성을 검사하지 않으므로 ldapmodify 명령을 사용하여 사용자에 대한
userPrincipalName
특성을 설정하는 등 낮은 수준의 수정을 통해 UPN을 구성하는 것이 좋습니다.
신뢰할 수 있는 AD forest에서 UPN 접미사를 추가하거나 제거하는 경우 IdM 마스터에서 신뢰할 수 있는 추정에 대한 정보를 새로 고쳐야 합니다.
[root@ipaserver ~]# ipa trust-fetch-domains Realm-Name: ad.example.com ------------------------------- No new trust domains were found ------------------------------- ---------------------------- Number of entries returned 0 ----------------------------
다음을 실행하여 대체 UPN이 가져왔는지 확인합니다.
[root@ipaserver ~]# ipa trust-show
Realm-Name: ad.example.com
Realm-Name: ad.example.com
Domain NetBIOS name: AD
Domain Security Identifier: S-1-5-21-796215754-1239681026-23416912
Trust direction: Two-way trust
Trust type: Active Directory domain
UPN suffixes: example.com
도메인의 UPN 접미사는
cn=trusted_domain_name,cn=ad,cn=trusts,dc=idm,dc=example,dc=com
하위 트리의 다중 값 속성 ipaNT additionalSuffixes
에 저장됩니다.