52.3. IdM에서 PKINIT 구성
PKINIT가 비활성화된 상태에서 IdM 서버가 실행 중인 경우 다음 단계를 사용하여 활성화합니다. 예를 들어 ipa-server-install
또는 ipa-replica-install
유틸리티를 사용하여 --no-pkinit
옵션을 전달하면 서버가 PKINIT를 비활성화하여 실행되고 있습니다.
사전 요구 사항
- 설치된 CA(인증 기관)가 있는 모든 IdM 서버가 동일한 도메인 수준에서 실행되고 있는지 확인합니다.
절차
서버에서 PKINIT가 활성화되어 있는지 확인합니다.
# kinit admin Password for admin@IDM.EXAMPLE.COM: # ipa pkinit-status --server=server.idm.example.com 1 server matched ---------------- Server name: server.idm.example.com PKINIT status:enabled ---------------------------- Number of entries returned 1 ----------------------------
PKINIT가 비활성화된 경우 다음 출력이 표시됩니다.
# ipa pkinit-status --server server.idm.example.com ----------------- 0 servers matched ----------------- ---------------------------- Number of entries returned 0 ----------------------------
--server <server_fqdn> 매개변수를 생략하면 명령을 사용하여 PKINIT가 활성화된 모든 서버
를 찾을 수도 있습니다.CA 없이 IdM을 사용하는 경우:
IdM 서버에서 KDC(Kerberos 키 배포 센터) 인증서에 서명한 CA 인증서를 설치합니다.
# ipa-cacert-manage install -t CT,C,C ca.pem
모든 IPA 호스트를 업데이트하려면 모든 복제본 및 클라이언트에서
ipa-certupdate
명령을 반복합니다.# ipa-certupdate
ipa-cacert-manage list
명령을 사용하여 CA 인증서가 이미 추가되었는지 확인합니다. 예를 들면 다음과 같습니다.# ipa-cacert-manage list CN=CA,O=Example Organization The ipa-cacert-manage command was successful
ipa-server-certinstall
유틸리티를 사용하여 외부 KDC 인증서를 설치합니다. KDC 인증서는 다음 조건을 충족해야 합니다.-
CN=fully_qualified_domain_name,certificate_subject_base
로 발행됩니다. -
Kerberos 주체
krbtgt/realM_NAME@REALM_NAME
이 포함됩니다. KDC 인증을 위한 OID(Object Identifier)가 포함되어 있습니다.
1.3.6.1.5.2.3.5.
# ipa-server-certinstall --kdc kdc.pem kdc.key # systemctl restart krb5kdc.service
-
PKINIT 상태를 참조하십시오.
# ipa pkinit-status Server name: server1.example.com PKINIT status: enabled [...output truncated...] Server name: server2.example.com PKINIT status: disabled [...output truncated...]
CA 인증서가 있는 IdM을 사용하는 경우 다음과 같이 PKINIT를 활성화합니다.
# ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successful
IdM CA를 사용하는 경우 명령은 CA에서 PKINIT KDC 인증서를 요청합니다.
추가 리소스
-
ipa-server-certinstall(1)
매뉴얼 페이지