7.4. IdM에서 OTP 검증을 위한 RADIUS 서버 구성


전용 일회성 암호(OTP) 솔루션에서 IdM(Identity Management) 네이티브 OTP 솔루션으로 대규모 배포를 활성화하기 위해 IdM은 OTP 검증을 사용자 하위 집합을 타사 RADIUS 서버로 오프로드하는 방법을 제공합니다. 관리자는 각 프록시가 단일 RADIUS 서버만 참조할 수 있는 RADIUS 프록시 세트를 생성합니다. 둘 이상의 서버를 처리해야 하는 경우 여러 RADIUS 서버를 가리키는 가상 IP 솔루션을 생성하는 것이 좋습니다.

이러한 솔루션은 keepalived 데몬을 사용하여 RHEL IdM 외부에서 빌드해야 합니다. 예를 들면 다음과 같습니다. 그런 다음 관리자는 이러한 프록시 세트 중 하나를 사용자에게 할당합니다. 사용자에게 RADIUS 프록시 세트가 할당된 한 IdM은 다른 모든 인증 메커니즘을 무시합니다.

참고

IdM은 타사 시스템의 토큰에 대한 토큰 관리 또는 동기화 지원을 제공하지 않습니다.

OTP 검증을 위해 RADIUS 서버를 구성하고 프록시 서버에 사용자를 추가하려면 절차를 완료합니다.

사전 요구 사항

절차

  1. RADIUS 프록시를 추가합니다.

    $ ipa radiusproxy-add proxy_name --secret secret

    명령에서 필요한 정보를 입력하라는 메시지를 표시합니다.

    RADIUS 프록시를 구성하려면 클라이언트와 서버 간의 공통 보안을 사용하여 인증 정보를 래핑해야 합니다. 이 시크릿을 --secret 매개변수에 지정합니다.

  2. 추가된 프록시에 사용자를 할당합니다.

    ipa user-mod radiususer --radius=proxy_name
  3. 필요한 경우 RADIUS로 보낼 사용자 이름을 구성합니다.

    ipa user-mod radiususer --radius-username=radius_user

결과적으로 RADIUS 프록시 서버는 사용자 OTP 인증을 처리하기 시작합니다.

사용자를 IdM 네이티브 OTP 시스템으로 마이그레이션할 준비가 되면 사용자의 RADIUS 프록시 할당을 간단히 제거할 수 있습니다.

7.4.1. 느린 네트워크에서 RADIUS 서버를 실행할 때 KDC의 시간 초과 값 변경

느린 네트워크에서 RADIUS 프록시를 실행하는 것과 같은 특정 상황에서 IdM(Identity Management) Kerberos Distribution Center(KDC)는 사용자가 토큰을 입력하도록 기다리는 동안 연결이 시간 초과되어 RADIUS 서버 이전에 연결을 종료합니다.

KDC의 시간 초과 설정을 변경하려면 다음을 수행합니다.

  1. /var/kerberos/krb5kdc/kdc.conf 파일의 [otp] 섹션에서 timeout 매개변수 값을 변경합니다. 예를 들어 시간 제한을 120 초로 설정하려면 다음을 수행합니다.

    [otp]
    DEFAULT = {
      timeout = 120
      ...
    }
  2. krb5kdc 서비스를 다시 시작합니다.

    # systemctl restart krb5kdc
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.