Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

51.4. IdM 서비스에 대한 인증 표시기 시행

IdM(Identity Management)에서 지원하는 인증 메커니즘은 인증 힘에 따라 다릅니다. 예를 들어 표준 암호와 함께 OTP(One-time password)를 사용하여 초기의 Kerberos 티켓 작성 티켓(TGT)을 가져오는 것은 표준 암호만 사용하여 인증보다 더 안전한 것으로 간주됩니다.

인증 지표를 특정 IdM 서비스와 연결하면 IdM 관리자로서 TGT( initial ticket-granting ticket)를 받기 위해 특정 사전 인증 메커니즘을 사용한 사용자만 서비스에 액세스할 수 있도록 서비스를 구성할 수 있습니다.

이러한 방식으로 다음과 같이 다양한 IdM 서비스를 구성할 수 있습니다.

  • OTP(one-time password)와 같은 초기 TGT를 얻기 위해 더 강력한 인증 방법을 사용한 사용자만 VPN과 같은 보안에 중요한 서비스에 액세스할 수 있습니다.
  • 암호와 같은 초기 TGT를 얻기 위해 보다 간단한 인증 방법을 사용한 사용자는 로컬 로그인과 같은 중요하지 않은 서비스에만 액세스할 수 있습니다.

그림 51.2. 다른 기술을 사용하여 인증의 예

인증 지표
View larger image
인증 지표

이 절차에서는 IdM 서비스 생성 및 수신 서비스 티켓 요청의 특정 Kerberos 인증 표시기가 필요하도록 구성하는 방법을 설명합니다.

51.4.1. IdM 서비스 항목 및 Kerberos 키 탭 생성
링크 복사

IdM 호스트에서 실행되는 서비스에 대해 IdM 서비스 항목을 IdM에 추가하면 해당 Kerberos 사용자가 생성되고 서비스에서 SSL 인증서, Kerberos 키탭 또는 둘 다를 요청할 수 있습니다.

다음 절차에서는 IdM 서비스 항목을 생성하고 관련 Kerberos keytab을 생성하여 해당 서비스와의 통신을 암호화하는 방법을 설명합니다.

사전 요구 사항

  • 서비스는 Kerberos 주체, SSL 인증서 또는 둘 다를 저장할 수 있습니다.

절차

  1. ipa service-add 명령으로 IdM 서비스를 추가하여 연결된 Kerberos 주체를 생성합니다. 예를 들어 호스트 client.example.com에서 실행되는 테스트 서비스 애플리케이션에 대한 IdM 서비스 항목을 생성하려면 다음을 수행합니다. 

    [root@client ~]# ipa service-add testservice/client.example.com
-------------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
-------------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com
    Copy to Clipboard Toggle word wrap

  2. 클라이언트에서 서비스에 대한 Kerberos 키탭을 생성하고 저장합니다. 

    [root@client ~]# ipa-getkeytab -k /etc/testservice.keytab -p testservice/client.example.com
Keytab successfully retrieved and stored in: /etc/testservice.keytab
    Copy to Clipboard Toggle word wrap

검증 단계

  1. ipa service-show 명령을 사용하여 IdM 서비스에 대한 정보를 표시합니다. 

    [root@server ~]# ipa service-show testservice/client.example.com
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Keytab: True
  Managed by: client.example.com
    Copy to Clipboard Toggle word wrap

  2. klist 명령을 사용하여 서비스의 Kerberos keytab 내용을 표시합니다. 

    [root@server etc]# klist -ekt /etc/testservice.keytab
Keytab name: FILE:/etc/testservice.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia128-cts-cmac)
   2 04/01/2020 17:52:55 testservice/client.example.com@EXAMPLE.COM (camellia256-cts-cmac)
    Copy to Clipboard Toggle word wrap

51.4.2. IdM CLI를 사용하여 인증 지표와 IdM 서비스 연결
링크 복사

IdM(Identity Management) 관리자는 클라이언트 애플리케이션에서 제공하는 서비스 티켓에 특정 인증 지표가 포함되도록 호스트 또는 서비스를 구성할 수 있습니다. 예를 들어 Kerberos 티켓 생성 티켓(TGT)을 가져올 때 유효한 IdM 2 단계 인증 토큰을 사용하는 사용자만 해당 호스트 또는 서비스에 액세스할 수 있도록 할 수 있습니다.

서비스 티켓 요청에서 특정 Kerberos 인증 지표를 요구하도록 서비스를 구성하려면 다음 절차를 따르십시오.

사전 요구 사항

주의

내부 IdM 서비스에 인증 표시기를 할당 하지 마십시오. 다음 IdM 서비스는 PKINIT 및 다단계 인증 방법에 필요한 대화형 인증 단계를 수행할 수 없습니다. 

host/server.example.com@EXAMPLE.COM
HTTP/server.example.com@EXAMPLE.COM
ldap/server.example.com@EXAMPLE.COM
DNS/server.example.com@EXAMPLE.COM
cifs/server.example.com@EXAMPLE.COM
Copy to Clipboard Toggle word wrap

절차

  • ipa service-mod 명령을 사용하여 --auth-ind 인수로 식별된 서비스에 대해 하나 이상의 필수 인증 표시기를 지정합니다.

    Expand
    인증 방법--auth-ind

    이중 인증

    otp

    RADUS 인증

    마케도니아

    PKINIT, 스마트 카드 또는 인증서 인증

    pkinit

    강화된 암호 (SPAKE 또는 FAST)

    강화

    예를 들어 호스트 client.example.com에서 테스트 서비스 주체 에 대한 서비스 티켓을 검색하기 위해 사용자가 스마트 카드 또는 OTP 인증으로 인증되도록 하려면 다음을 수행합니다. 

    [root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind otp --auth-ind pkinit
-------------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
-------------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Authentication Indicators: otp, pkinit
  Managed by: client.example.com
    Copy to Clipboard Toggle word wrap
참고

서비스에서 모든 인증 표시기를 제거하려면 빈 표시기 목록을 제공합니다. 

[root@server ~]# ipa service-mod testservice/client.example.com@EXAMPLE.COM --auth-ind ''
------------------------------------------------------
Modified service "testservice/client.example.com@EXAMPLE.COM"
------------------------------------------------------
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Managed by: client.example.com
Copy to Clipboard Toggle word wrap

검증 단계

  • ipa service-show 명령을 사용하여 필요한 인증 표시기를 포함하여 IdM 서비스에 대한 정보를 표시합니다. 

    [root@server ~]# ipa service-show testservice/client.example.com
  Principal name: testservice/client.example.com@EXAMPLE.COM
  Principal alias: testservice/client.example.com@EXAMPLE.COM
  Authentication Indicators: otp, pkinit
  Keytab: True
  Managed by: client.example.com
    Copy to Clipboard Toggle word wrap

51.4.3. IdM 웹 UI를 사용하여 인증 지표와 IdM 서비스 연결
링크 복사

IdM(Identity Management) 관리자는 특정 인증 표시기를 포함하도록 클라이언트 애플리케이션에서 제공하는 서비스 티켓을 요구하도록 호스트 또는 서비스를 구성할 수 있습니다. 예를 들어 Kerberos 티켓 생성 티켓(TGT)을 가져올 때 유효한 IdM 2 단계 인증 토큰을 사용하는 사용자만 해당 호스트 또는 서비스에 액세스할 수 있도록 할 수 있습니다.

IdM 웹 UI를 사용하여 수신되는 티켓 요청에서 특정 Kerberos 인증 지표를 요구하도록 호스트 또는 서비스를 구성하려면 다음 절차를 따르십시오.

사전 요구 사항

  • 관리 사용자로 IdM 웹 UI에 로그인했습니다.

절차

  1. Identity Hosts Services (ID 서비스)를 선택합니다.
  2. 필요한 호스트 또는 서비스의 이름을 클릭합니다.

  3. 인증 지표 아래에서 필요한 인증 방법을 선택합니다.

    • 예를 들어, OTP 를 선택하면 Kerberos TGT를 가져올 때 유효한 IdM 2 단계 인증 토큰을 사용한 사용자만 호스트 또는 서비스에 액세스할 수 있습니다.
    • OTPRADIUS 를 둘 다 선택하는 경우, Kerberos TGT를 얻기 위해 RADIUS 서버를 사용하는 사용자와 Kerberos TGT를 사용하기 위해 RADIUS 서버를 사용하는 사용자는 모두 비밀번호로 유효한 IdM 이중 인증 토큰을 사용하는 사용자 모두 액세스가 허용됩니다.
  4. 페이지 상단에서 저장을 클릭합니다.

51.4.4. IdM 서비스의 Kerberos 서비스 티켓 검색
링크 복사

다음 절차에서는 IdM 서비스에 대한 Kerberos 서비스 티켓을 검색하는 방법을 설명합니다. 이 절차를 사용하여 특정 Kerberos 인증 지표가 TGT(Towering ticket)에 표시되는 것과 같은 Kerberos 티켓 정책을 테스트할 수 있습니다.

사전 요구 사항

절차

  • kvno 명령을 -S 옵션과 함께 사용하여 서비스 티켓을 검색하고 IdM 서비스의 이름과 이를 관리하는 호스트의 정규화된 도메인 이름을 지정합니다. 

    [root@server ~]# kvno -S testservice client.example.com
testservice/client.example.com@EXAMPLE.COM: kvno = 1
    Copy to Clipboard Toggle word wrap
참고

IdM 서비스에 액세스해야 하며 현재 티켓 생성 티켓(TGT)에 연결된 필수 Kerberos 인증 지표가 없는 경우 kdestroy 명령으로 현재 Kerberos 인증 정보 캐시를 지우고 새로운 TGT를 검색합니다. 

[root@server ~]# kdestroy
Copy to Clipboard Toggle word wrap

예를 들어, 암호를 사용하여 인증하여 처음에 TGT를 검색하고 해당 인증서와 연결된 pkinit 인증 표시기가 있는 IdM 서비스에 액세스해야 하는 경우 현재 자격 증명 캐시를 삭제하고 스마트 카드로 다시 인증해야 합니다. Kerberos 인증 표시기 를 참조하십시오.

검증 단계

  • klist 명령을 사용하여 서비스 티켓이 기본 Kerberos 자격 증명 캐시에 있는지 확인합니다. 

    [root@server etc]# klist_
Ticket cache: KCM:1000
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
04/01/2020 12:52:42  04/02/2020 12:52:39  krbtgt/EXAMPLE.COM@EXAMPLE.COM
04/01/2020 12:54:07 04/02/2020 12:52:39 testservice/client.example.com@EXAMPLE.COM
    Copy to Clipboard Toggle word wrap
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동