5.2.3. cross-forest Trusts에 대한 설치 후 고려 사항
5.2.3.1. Active Directory Trust 관련 잠재적인 동작 문제
5.2.3.1.1. Active Directory 사용자 및 IdM 관리
현재 AD(Active Directory) 사용자와 관리자는 IdM 웹 UI에 로그인한 후 셀프 서비스 페이지만 볼 수 있습니다. AD 관리자는 IdM 웹 UI의 관리자 보기에 액세스할 수 없습니다. 자세한 내용은 Linux 도메인 ID, 인증 및 정책 가이드 의 AD 사용자로 IdM 웹 UI 인증을 참조하십시오.
또한 현재 AD 사용자는 자체 ID 재정의를 관리할 수 없습니다. IdM 사용자만 ID 재정의를 추가하고 관리할 수 있습니다.
5.2.3.1.2. 삭제된 ActiveActive Directoryfqdn;Directory 사용자 인증
기본적으로 모든 IdM 클라이언트는 SSSD 서비스를 사용하여 사용자 ID 및 자격 증명을 캐시합니다. IdM 또는 AD 백엔드 공급자를 일시적으로 사용할 수 없는 경우 SSSD를 사용하면 로컬 시스템에서 성공적으로 로그인한 사용자의 ID를 참조할 수 있습니다.
SSSD는 로컬로 사용자 목록을 유지 관리하므로 백엔드에 적용된 변경 사항은 SSSD를 오프라인으로 실행하는 클라이언트에 즉시 표시되지 않을 수 있습니다. 이러한 클라이언트에서 IdM 리소스에 로그인했으며 해시된 암호가 SSSD 캐시에 저장된 사용자는 AD에서 사용자 계정이 삭제된 경우에도 다시 로그인할 수 있습니다.
위의 조건이 충족되면 사용자 ID가 SSSD에 캐시되고 사용자 계정이 AD를 삭제하더라도 AD 사용자는 IdM 리소스에 로그인할 수 있습니다. 이 문제는 SSSD가 온라인 상태가 되고 AD 도메인 컨트롤러에 대해 AD 사용자 로그온을 확인할 수 있을 때까지 지속됩니다.
클라이언트 시스템이 SSSD를 온라인으로 실행하는 경우 사용자가 제공하는 암호는 AD 도메인 컨트롤러에서 검증합니다. 이렇게 하면 삭제된 AD 사용자가 로그인할 수 없습니다.
5.2.3.1.3. 자격 증명 캐시 컬렉션 및 ActiveActive Directory Long;Directory principals 선택
Kerberos 자격 증명 캐시는 다음 순서에 따라 서버 주체와 서버 주체와 일치하려고 합니다.
- 서비스 이름
- 호스트 이름
- 영역 이름
클라이언트 및 서버 매핑이 호스트 이름 또는 실제 이름 및 자격 증명 캐시 컬렉션을 기반으로 하는 경우 AD 사용자로 바인딩할 때 예기치 않은 동작이 발생할 수 있습니다. 이는 ActiveActive Directory etcdctl;Directory 사용자의 영역 이름이 IdM 시스템의 영역 이름과 다르기 때문입니다.
AD 사용자가
kinit
유틸리티를 사용하여 티켓을 얻은 다음 SSH를 사용하여 anan IdM adm;IdM 리소스에 연결하면 보안 주체가 리소스 티켓에 대해 선택되지 않습니다. IdM principal가 리소스의 영역 이름과 일치하므로 IdM principal가 리소스의 영역 이름과 일치하기 때문에 보안 주체가 사용됩니다.
예를 들어 AD 사용자가
Administrator
이고 도메인이 ADEXAMPLE.ADREALM
인 경우 보안 주체는 Administrator@ADEXAMPLE.ADREALM
입니다.
[root@server ~]# kinit Administrator@ADEXAMPLE.ADREALM Password for Administrator@ADEXAMPLE.ADREALM: [root@server ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: Administrator@ADEXAMPLE.ADREALM Valid starting Expires Service principal 27.11.2015 11:25:23 27.11.2015 21:25:23 krbtgt/ADEXAMPLE.ADREALM@ADEXAMPLE.ADREALM renew until 28.11.2015 11:25:16
이는 ActiveActive Directory 6.7;Directory 티켓 캐시의 기본 주체로 설정됩니다. 그러나 IdM 사용자에게 Kerberos 티켓(예:
admin
)도 있는 경우, anan IdMrng;IdM 기본 주체가 있는 별도의 IdM 인증 정보 캐시가 있습니다. ActiveActive Directory advised;Directory 사용자가 SSH를 사용하여 리소스에 연결하는 경우 호스트 티켓에 대해 IdM 기본 주체가 선택됩니다.
[root@vm-197 ~]# ssh -l Administrator@adexample.adrealm ipaclient.example.com Administrator@adexample.adrealm@ipaclient.example.com's password: [root@vm-197 ~]# klist -A Ticket cache: KEYRING:persistent:0:0 Default principal: Administrator@ADEXAMPLE.ADREALM Valid starting Expires Service principal 27.11.2015 11:25:23 27.11.2015 21:25:23 krbtgt/ADEXAMPLE.ADREALM@ADEXAMPLE.ADREALM renew until 28.11.2015 11:25:16 Ticket cache: KEYRING:persistent:0:0Default principal: admin@EXAMPLE.COM
>>>>> IdM user Valid starting Expires Service principal 27.11.2015 11:25:18 28.11.2015 11:25:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM27.11.2015 11:25:48 28.11.2015 11:25:16 host/ipaclient.example.com@EXAMPLE.COM
>>>>> host principal
이는 IdM 주체의 영역 이름이 IdM 리소스의 영역과 일치하기 때문입니다.
5.2.3.1.4. 그룹 6.7s 해결
Kerberos 티켓 손실
net getlocalsid 또는 net getdomainsid.NET getdomainsid 와 같은 Samba 서비스에서 SID를 가져오려면 Kerberos 캐시의 기존 admin 티켓을 제거합니다.
참고
Active Directory 트러스트를 사용하려면 net getlocalsid 또는 net getdomainsid 와 같은 명령을 실행할 필요가 없습니다.
사용자 그룹 멤버십을 확인할 수 없음
특정 신뢰할 수 있는 사용자가 특정 IdM 그룹, 외부 또는 POSIX와 연결되어 있는지 확인할 수 없습니다.
ActiveActive Directory HAT;Directory 사용자에 대한 원격 ActiveActive Directory qcow;Directory 그룹 멤버십을 표시할 수 없습니다.
중요
IdM 서버와 클라이언트가 Red Hat Enterprise Linux 7.1 이상에서 실행되는 경우 이 문제는 더 이상 발생하지 않습니다.
id
유틸리티를 사용하여 Linux 시스템 사용자의 로컬 그룹 연결을 표시할 수 있습니다. 그러나 id
는 Samba 도구가 표시하더라도 Active Directory 사용자에 대한 Active Directory 그룹 멤버십이 표시되지 않습니다.
이 문제를 해결하려면
ssh
유틸리티를 사용하여 지정된 AD 사용자로 IdMseparated;IdM 클라이언트 시스템에 로그인할 수 있습니다. AD 사용자가 처음으로 로그인하면 id
검색에서 AD 그룹 멤버십을 감지하고 표시합니다.
[root@ipaserver ~]# id ADDOMAIN\user uid=1921801107(user@ad.example.com) gid=1921801107(user@ad.example.com) groups=1921801107(user@ad.example.com),129600004(ad_users),1921800513(domain users@ad.example.com)