1장. 명령줄에서 ID 관리에 로그인
IdM(Identity Management)은 Kerberos 프로토콜을 사용하여 SSO(Single Sign-On)를 지원합니다. SSO(Single Sign-On)는 사용자가 올바른 사용자 이름과 암호를 한 번만 입력한 다음 시스템이 자격 증명을 요청하는 메시지를 표시하지 않고 IdM 서비스에 액세스합니다.
IdM에서 SSSD(System Security Services Daemon)는 사용자가 Kerberos 주체 이름을 사용하여 IdM 클라이언트 시스템의 데스크탑 환경에 성공적으로 로그인한 후 사용자의 TGT( ticket-granting ticket)를 자동으로 가져옵니다. 즉, 로그인 후 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.
Kerberos 인증 정보 캐시 또는 Kerberos TGT가 만료된 경우 IdM 리소스에 액세스하려면 Kerberos 티켓을 수동으로 요청해야 합니다. 다음 섹션에서는 IdM에서 Kerberos를 사용할 때 기본 사용자 작업을 보여줍니다.
1.1. kinit를 사용하여 IdM에 수동으로 로그인
kinit 유틸리티를 사용하여 IdM(Identity Management) 환경을 수동으로 인증하려면 다음 절차를 따르십시오. kinit 유틸리티 는 IdM 사용자를 대신하여 Kerberos 티켓(TGT)을 가져오고 캐시합니다.
초기 Kerberos TGT를 제거했거나 만료된 경우에만 이 절차를 사용하십시오. IdM 사용자는 로컬 시스템에 로그인할 때 IdM에 자동으로 로그인됩니다. 즉, 로그인 후 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.
절차
IdM에 로그인
현재 로컬 시스템에 로그인한 사용자의 사용자 이름에서 사용자 이름을 지정하지 않고 kinit 를 사용합니다. 예를 들어 로컬 시스템에서
example_user로 로그인한 경우:[example_user@server ~]$ kinit Password for example_user@EXAMPLE.COM: [example_user@server ~]$로컬 사용자의 사용자 이름이 IdM의 사용자 항목과 일치하지 않으면 인증 시도가 실패합니다.
[example_user@server ~]$ kinit kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials로컬 사용자 이름과 일치하지 않는 Kerberos 주체를 사용하여 필요한 사용자 이름을
kinit유틸리티에 전달합니다. 예를 들어admin사용자로 로그인하려면 다음을 수행합니다.[example_user@server ~]$ kinit admin Password for admin@EXAMPLE.COM: [example_user@server ~]$
검증
로그인에 성공했는지 확인하려면 klist 유틸리티를 사용하여 캐시된 TGT를 표시합니다. 다음 예에서 캐시에는
example_user주체의 티켓이 포함되어 있습니다. 즉, 이 특정 호스트에서만example_user만 IdM 서비스에 액세스할 수 있습니다.$ klist Ticket cache: KEYRING:persistent:0:0 Default principal: example_user@EXAMPLE.COM Valid starting Expires Service principal 11/10/2019 08:35:45 11/10/2019 18:35:45 krbtgt/EXAMPLE.COM@EXAMPLE.COM
