7.4. IdM에서 OTP 검증을 위한 RADIUS 서버 구성
전용 일회성 암호(OTP) 솔루션에서 IdM(Identity Management) 네이티브 OTP 솔루션으로 대규모 배포를 활성화하기 위해 IdM은 OTP 검증을 사용자 하위 집합을 타사 RADIUS 서버로 오프로드하는 방법을 제공합니다. 관리자는 각 프록시가 단일 RADIUS 서버만 참조할 수 있는 RADIUS 프록시 세트를 생성합니다. 둘 이상의 서버를 처리해야 하는 경우 여러 RADIUS 서버를 가리키는 가상 IP 솔루션을 생성하는 것이 좋습니다.
이러한 솔루션은 keepalived
데몬을 사용하여 RHEL IdM 외부에서 빌드해야 합니다. 예를 들면 다음과 같습니다. 그런 다음 관리자는 이러한 프록시 세트 중 하나를 사용자에게 할당합니다. 사용자에게 RADIUS 프록시 세트가 할당된 한 IdM은 다른 모든 인증 메커니즘을 무시합니다.
IdM은 타사 시스템의 토큰에 대한 토큰 관리 또는 동기화 지원을 제공하지 않습니다.
OTP 검증을 위해 RADIUS 서버를 구성하고 프록시 서버에 사용자를 추가하려면 절차를 완료합니다.
사전 요구 사항
- 반경 사용자 인증 방법이 활성화되어 있습니다. 자세한 내용은 웹 UI에서 일회성 암호 활성화를 참조하십시오.
절차
RADIUS 프록시를 추가합니다.
$ ipa radiusproxy-add proxy_name --secret secret
명령에서 필요한 정보를 입력하라는 메시지를 표시합니다.
RADIUS 프록시를 구성하려면 클라이언트와 서버 간의 공통 보안을 사용하여 인증 정보를 래핑해야 합니다. 이 시크릿을
--secret
매개변수에 지정합니다.추가된 프록시에 사용자를 할당합니다.
ipa user-mod radiususer --radius=proxy_name
필요한 경우 RADIUS로 보낼 사용자 이름을 구성합니다.
ipa user-mod radiususer --radius-username=radius_user
결과적으로 RADIUS 프록시 서버는 사용자 OTP 인증을 처리하기 시작합니다.
사용자를 IdM 네이티브 OTP 시스템으로 마이그레이션할 준비가 되면 사용자의 RADIUS 프록시 할당을 간단히 제거할 수 있습니다.
7.4.1. 느린 네트워크에서 RADIUS 서버를 실행할 때 KDC의 시간 초과 값 변경
느린 네트워크에서 RADIUS 프록시를 실행하는 것과 같은 특정 상황에서 IdM(Identity Management) Kerberos Distribution Center(KDC)는 사용자가 토큰을 입력하도록 기다리는 동안 연결이 시간 초과되어 RADIUS 서버 이전에 연결을 종료합니다.
KDC의 시간 초과 설정을 변경하려면 다음을 수행합니다.
/var/kerberos/krb5kdc/kdc.conf
파일의[otp]
섹션에서timeout
매개변수 값을 변경합니다. 예를 들어 시간 제한을120
초로 설정하려면 다음을 수행합니다.[otp] DEFAULT = { timeout = 120 ... }
krb5kdc
서비스를 다시 시작합니다.# systemctl restart krb5kdc