홈
제품
Red Hat Enterprise Linux
8
Identity Management 설치
34.7. Active Directory DNS 도메인에 IdM 클라이언트 구성

34.7. Active Directory DNS 도메인에 IdM 클라이언트 구성

AD(Active Directory)에서 제어하는 DNS 도메인에 클라이언트 시스템이 있고 RHEL 기능을 활용하기 위해 IdM 서버에 가입하도록 해당 클라이언트가 필요한 경우 AD DNS 도메인의 호스트 이름을 사용하여 사용자를 구성하도록 사용자를 구성할 수 있습니다.

중요

이 구성은 권장되지 않으며 제한 사항이 있습니다. 항상 AD가 소유한 DNS 영역에 IdM 클라이언트를 배포하고 IdM 호스트 이름을 사용하여 IdM 클라이언트에 액세스합니다.

IdM 클라이언트 구성은 Kerberos를 통한 SSO(Single Sign-On) 필요 여부에 따라 달라집니다.

34.7.1. Kerberos SSO(Single Sign-On) 없이 IdM 클라이언트 구성

암호 인증은 IdM 클라이언트가 Active Directory DNS 도메인에 있는 경우 사용자가 IdM 클라이언트의 리소스에 액세스할 수 있는 유일한 인증 방법입니다. Kerberos Single Sign-On 없이 클라이언트를 구성하려면 다음 절차를 따르십시오.

절차

SSSD(System Security Services Daemon)가 IdM 서버와 통신할 수 있도록 --domain=IPA_DNS_Domain 옵션과 함께 IdM 클라이언트를 설치합니다.
```
[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
```
```
[root@idm-client.ad.example.com ~]# ipa-client-install --domain=idm.example.com
```
Copy to Clipboard
이 옵션은 Active Directory DNS 도메인에 대한 SRV 레코드 자동 감지 기능을 비활성화합니다.
/etc/krb5.conf 구성 파일을 열고 [domain_realm] 섹션에서 Active Directory 도메인의 기존 매핑을 찾습니다.
```
.ad.example.com = IDM.EXAMPLE.COM
ad.example.com = IDM.EXAMPLE.COM
```
```
.ad.example.com = IDM.EXAMPLE.COM
ad.example.com = IDM.EXAMPLE.COM
```
Copy to Clipboard
두 행을 Active Directory DNS 영역에 있는 Linux 클라이언트의 정규화된 도메인 이름(FQDN)을 IdM 영역에 매핑하는 항목으로 바꿉니다.
```
idm-client.ad.example.com = IDM.EXAMPLE.COM
```
```
idm-client.ad.example.com = IDM.EXAMPLE.COM
```
Copy to Clipboard
기본 매핑을 대체하면 Kerberos에서 Active Directory 도메인에 대한 요청을 IdM Kerberos 배포 센터(KDC)로 보내는 것을 방지할 수 있습니다. 대신 Kerberos는 SRV DNS 레코드를 통해 자동 검색을 사용하여 NetNamespace를 찾습니다.

34.7.2. SSO(Single Sign-On) 없이 SSL 인증서 요청

Kerberos Single Sign-On 없이 IdM 클라이언트를 구성한 후 SSL 기반 서비스를 설정할 수 있습니다.

SSL 기반 서비스에는 원래(A/AAAA) 및 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 다루는 dNSName 확장자 레코드가 있는 인증서가 필요합니다. 현재 IdM 데이터베이스는 IdM 데이터베이스의 오브젝트를 호스트하는 데만 인증서를 발행합니다.

이 설정에서 Single Sign-On이 활성화되지 않은 경우 IdM에는 이미 데이터베이스에 FQDN에 대한 호스트 오브젝트가 포함되어 있습니다. certmonger 를 사용하여 FQDN을 사용하여 인증서를 요청할 수 있습니다.

사전 요구 사항

Kerberos SSO 없이 구성된 IdM 클라이언트입니다.

절차

FQDN을 사용하여 인증서를 요청하려면 certmonger 를 사용합니다.

[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=ipa-client.ad.example.com \
      -D ipa-client.ad.example.com \
      -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

[root@idm-client.ad.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=ipa-client.ad.example.com \
      -D ipa-client.ad.example.com \
      -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

Copy to Clipboard

certmonger 서비스는 /etc/krb5.keytab 파일에 저장된 기본 호스트 키를 사용하여 IdM 인증 기관(CA)에 인증합니다.

34.7.3. Kerberos SSO(Single Sign-On)로 IdM 클라이언트 구성

IdM 클라이언트의 리소스에 액세스하려면 Kerberos SSO(Single Sign-on)가 필요한 경우 클라이언트는 IdM DNS 도메인(예: idm-client.idm.example.com ) 내에 있어야 합니다. IdM 클라이언트의 A/AAAA 레코드를 가리키는 Active Directory DNS 도메인에 idm-client.ad.example.com 을 생성해야 합니다.

Kerberos 기반 애플리케이션 서버의 경우 MIT Kerberos는 애플리케이션의 키 탭에서 사용 가능한 호스트 기반 보안 주체를 수락할 수 있는 방법을 지원합니다.

절차

IdM 클라이언트에서 /etc/krb5.conf 구성 파일의 [libdefaults] 섹션에서 다음 옵션을 설정하여 Kerberos 서버를 대상으로 하는 데 사용되는 Kerberos 주체의 엄격한 검사를 비활성화합니다.
```
ignore_acceptor_hostname = true
```
```
ignore_acceptor_hostname = true
```
Copy to Clipboard

34.7.4. SSO(Single Sign-On)를 사용하여 SSL 인증서 요청

IdM 클라이언트에서 엄격한 Kerberos 주체 검사를 비활성화한 후 SSL 기반 서비스를 설정할 수 있습니다. SSL 기반 서비스에는 원래(A/AAAA) 및 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 다루는 dNSName 확장자 레코드가 있는 인증서가 필요합니다. 현재 IdM 데이터베이스는 IdM 데이터베이스의 오브젝트를 호스트하는 데만 인증서를 발행합니다.

다음 절차에 따라 IdM에서 ipa-client.example.com 에 대한 호스트 오브젝트를 생성하고 실제 IdM 시스템의 호스트 오브젝트가 이 호스트를 관리할 수 있는지 확인합니다.

사전 요구 사항

Kerberos 서버를 대상으로 하는 Kerberos 주체를 엄격하게 검사하지 않도록 설정했습니다.

절차

IdM 서버에 새 호스트 오브젝트를 생성합니다.
```
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
```
```
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
```
Copy to Clipboard
호스트 이름이 CNAME 레코드가 아닌 A/AAAA 레코드이므로 --force 옵션을 사용합니다.

IdM 서버에서 IdM DNS 호스트 이름을 허용하여 IdM 데이터베이스의 Active Directory 호스트 항목을 관리할 수 있습니다.

[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
      --hosts=idm-client.idm.example.com

[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
      --hosts=idm-client.idm.example.com

Copy to Clipboard

Active Directory DNS 도메인 내의 호스트 이름에 대한 dNSName 확장 레코드와 함께 IdM 클라이언트의 SSL 인증서를 요청할 수 있습니다.

[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

[root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth

Copy to Clipboard

맨 위로 이동

34.7. Active Directory DNS 도메인에 IdM 클라이언트 구성

34.7.1. Kerberos SSO(Single Sign-On) 없이 IdM 클라이언트 구성

34.7.2. SSO(Single Sign-On) 없이 SSL 인증서 요청

34.7.3. Kerberos SSO(Single Sign-On)로 IdM 클라이언트 구성

34.7.4. SSO(Single Sign-On)를 사용하여 SSL 인증서 요청

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links