7.3. 웹 UI에서 일회성 암호 활성화
IdM(Identity Management) 관리자는 IdM 사용자에 대해 전역 또는 개별적으로 2단계 인증 (2FA)을 활성화할 수 있습니다. 사용자는 명령줄의 일반 암호 또는 웹 UI 로그인 대화 상자의 전용 필드에 이러한 암호 사이에 공백이 없는 일회성 암호(OTP)를 입력합니다.
2FA를 활성화하는 것은 강제하는 것과 동일하지 않습니다. LDAP-binds 기반 로그인을 사용하는 경우 IdM 사용자는 암호만 입력하여 계속 인증할 수 있습니다. 그러나 krb5
기반 로그인을 사용하는 경우 2FA가 적용됩니다. 향후 릴리스에서 Red Hat은 관리자가 다음 중 하나를 선택할 수 있도록 구성 옵션을 제공할 계획입니다.
-
사용자가 자신의 토큰을 설정할 수 있도록 허용합니다. 이 경우
krb5
기반 로그인이 있는 경우에도 LDAP-binds는 2FA를 적용하지 않습니다. -
사용자가 자신의 토큰을 설정할 수 없습니다. 이 경우 LDAP-binds 및
krb5
기반 로그인 모두에서 2FA가 적용됩니다.
IdM 웹 UI를 사용하여 개별 example.user IdM 사용자에 대해 2FA를 활성화하려면 다음 절차를 완료합니다.
사전 요구 사항
- 관리 권한
절차
-
IdM
관리자
권한으로 IdM 웹 UI에 로그인합니다. ID
사용자 활성 사용자 탭을 엽니다. - example.user 를 선택하여 사용자 설정을 엽니다.
- 사용자 인증 유형에서 두 가지 요소 인증 (암호 + OTP) 을 선택합니다.
- 저장을 클릭합니다.
이 시점에서 IdM 사용자에 대해 OTP 인증이 활성화됩니다.
이제 사용자 또는 example.user 는 example.user 계정에 새 토큰 ID를 할당해야 합니다.
2024년 9월 현재 RADIUS 프로토콜에 CVE-2024-3596 취약점이 존재합니다. IdM의 컨텍스트에서 CVE에 대한 응답으로 RADIUS/TLS 또는 RADIUS/DTLS를 사용하는 것은 IdM이 UDP를 통한 RADIUS만 지원하므로 옵션이 아닙니다. 이 문제를 해결하려면 IdM 서버와 정책 관리 플랫폼 인스턴스 옆에 신뢰할 수 있는 시스템 간의 지점 간 VPN을 사용하여 IdM 서버와 정책 관리 플랫폼 인스턴스 간에 보안 채널을 생성합니다. 그런 다음 VPN 경로를 통해 원격 RADIUS 서버 연결에 대한 트래픽이 캡슐화되었는지 확인합니다. 또한 Message-Authenticator 속성 없이 RHEL IdM의 요청을 수락하도록 RADIUS 서버를 구성합니다.