114.5. IdM 티켓 수신 티켓을 외부 IdP 사용자로 검색
IdM(Identity Management) 사용자에 대한 인증을 외부 ID 공급자(IdP)에 위임한 경우 IdM 사용자는 외부 IdP에 인증하여 Kerberos 티켓(TGT)을 요청할 수 있습니다.
다음 작업을 수행하려면 이 절차를 완료합니다.
- 익명 Kerberos 티켓을 로컬로 검색하고 저장합니다.
-
kinit
를-T
옵션과 함께 사용하여 idm-user-with-external-idp 사용자에게 FAST(Secure tunneling) 채널을 통해 유연한 인증을 활성화하여 Kerberos 클라이언트와 KDC(Kerberos Distribution Center) 간에 보안 연결을 제공하도록 TGT를 요청합니다.
사전 요구 사항
- IdM 클라이언트 및 IdM 서버는 RHEL 8.7 이상을 사용합니다.
- IdM 클라이언트 및 IdM 서버는 SSSD 2.7.0 이상을 사용합니다.
- IdM에 외부 IdP에 대한 참조가 생성되어 있습니다. Ansible을 사용하여 외부 ID 공급자에 대한 참조 생성을 참조하십시오.
- 사용자 계정과 외부 IdP 참조가 연결되어 있습니다. Ansible을 사용하여 IdM 사용자가 외부 IdP를 통해 인증할 수 있도록 을 참조하십시오.
- 처음에 로그인한 사용자는 로컬 파일 시스템의 디렉터리에 대한 쓰기 권한이 있습니다.
절차
익명 PKINIT를 사용하여 Kerberos 티켓을 가져와서
./fast.ccache
파일에 저장합니다.$ kinit -n -c ./fast.ccache
[선택 사항] 검색된 티켓을 확인합니다.
$ *klist -c fast.ccache * Ticket cache: FILE:fast.ccache Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS Valid starting Expires Service principal 03/03/2024 13:36:37 03/04/2024 13:14:28 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
-T
옵션을 사용하여 IdM 사용자로 인증을 시작하여 gRPCST 통신 채널을 활성화합니다.[root@client ~]# kinit -T ./fast.ccache idm-user-with-external-idp Authenticate at https://oauth2.idp.com:8443/auth/realms/master/device?user_code=YHMQ-XKTL and press ENTER.:
- 브라우저에서 명령 출력에 제공된 웹 사이트에서 사용자로 인증합니다.
- 명령줄에서 Enter 키를 눌러 인증 프로세스를 완료합니다.
검증
Kerberos 티켓 정보를 표시하고
config: pa_type
이 외부 IdP를 사용하여 사전 인증을 위해152
행으로 표시되는지 확인합니다.[root@client ~]# klist -C Ticket cache: KCM:0:58420 Default principal: idm-user-with-external-idp@IDM.EXAMPLE.COM Valid starting Expires Service principal 05/09/22 07:48:23 05/10/22 07:03:07 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: fast_avail(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = yes 08/17/2022 20:22:45 08/18/2022 20:22:43 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM config: pa_type(krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM) = 152
pa_type = 152
는 외부 IdP 인증을 나타냅니다.