34.9. 가장 광범위한 트러스트 설정 문제 해결

제품 1: 명령은 설정 및 입력 확인

1. IdM 서버에 Trust Controller 역할이 있는지 확인합니다.
2. ipa trust-add 명령에 전달된 옵션을 확인합니다.
3. 신뢰할 수 있는 tree 루트 도메인과 연결된 ID 범위를 확인합니다. ID 범위 유형 및 속성을 ipa trust-add 명령에 대한 옵션으로 지정하지 않은 경우 Active Directory에서 검색됩니다.

제품 2 이 명령은 Active Directory 도메인에 대한 트러스트를 설정하려고 시도합니다.

4. 각 신뢰 방향에 대해 별도의 신뢰 오브젝트를 생성합니다. 각 오브젝트는 양변(IdM 및 AD) 모두에서 생성됩니다. 단방향 신뢰를 설정하는 경우 각 측에서 하나의 개체만 생성됩니다.

5. IdM 서버는 Samba 제품군을 사용하여 Active Directory의 도메인 컨트롤러 기능을 처리하고 대상 AD PDC에 신뢰 오브젝트를 생성합니다.

   1. IdM 서버는 대상 DC의 IPC$ 공유에 대한 보안 연결을 설정합니다. RHEL 8.4 이후 연결은 세션에 사용되는 AES 기반 암호화를 사용하여 연결이 충분히 안전한지 확인하기 위해 Windows Server 2012 이상을 사용하는 SMB3 프로토콜 이상이 필요합니다.
   2. IdM 서버는 LSA QueryTrustedDomainInfoByName 호출을 사용하여 신뢰할 수 있는 도메인 오브젝트(TDO)를 쿼리합니다.

   3. TDO가 이미 존재하는 경우 LSA DeleteTrustedDomain 호출을 사용하여 제거합니다.

      참고

      이 호출은 Incoming Forest Trust Builder 그룹의 구성원과 같이 domain Admin (EA) 또는 Domain Admin (DA) 권한이 없는 경우 이 호출이 실패합니다. 이전 TDO가 자동으로 제거되지 않으면 AD 관리자가 AD에서 수동으로 제거해야 합니다.

   4. IdM 서버는 LSA CreateTrustedDomainEx2 호출을 사용하여 새 TDO를 생성합니다. TDO 자격 증명은 128개의 임의의 문자가 있는 Samba 제공 암호 생성기를 사용하여 임의로 생성됩니다.

   5. 그런 다음 새로운 TDO가 LSA Set informationTrustedDomain 호출을 사용하여 수정되어 신뢰에서 지원하는 암호화 유형이 올바르게 설정되어 있는지 확인합니다.

      1. Active Directory의 디자인 방식 때문에 RC4_HMAC_MD5 암호화 유형이 활성화된 경우 RC4 키가 사용되지 않습니다.
      2. AES128_CTS_HMAC_SHA1_96 및 AES256_CTS_HMAC_SHA1_96 암호화 유형이 활성화됩니다.
6. Lake 트러스트의 경우 LSA SetDataTrustedDomain 호출을 사용하여 내 도메인의 전송에 도달할 수 있는지 확인합니다.

7. LSA RSetForestTrust Cryostat 호출을 사용하여 다른 포리스트에 대한 신뢰 토폴로지 정보를 추가합니다( IdM과 통신할 경우 AD, AD와 통신할 경우 AD).

   참고

   이 단계는 다음 세 가지 이유 중 하나로 인해 충돌이 발생할 수 있습니다.

   1. LSA_SID_DISABLED_CONFLICT 오류로 보고되는 SID 네임스페이스 충돌. 이 충돌은 해결될 수 없습니다.
   2. LSA_NB_DISABLED_CONFLICT 오류로 보고되는 NetBIOS 네임스페이스 충돌. 이 충돌은 해결될 수 없습니다.
   3. LSA_TLN_DISABLED_CONFLICT 오류로 보고된 TLN(상위 수준 이름)과 DNS 네임스페이스가 충돌합니다. IdM 서버는 다른 포리스트로 인해 발생하는 경우 TLN 충돌을 자동으로 확인할 수 있습니다.

   TLN 충돌을 해결하기 위해 IdM 서버는 다음 단계를 수행합니다.

   1. 충돌하는 포리스트의 신뢰 정보를 검색합니다.
   2. IdM DNS 네임스페이스의 제외 항목을 AD 포리스트에 추가합니다.
   3. 충돌하는 산림에 대한 포리스트 신뢰 정보를 설정합니다.
   4. 원래의 산림에 대한 신뢰를 다시 시도합니다.

   IdM 서버는 포리스트 트러스트를 변경할 수 있는 AD 관리자 권한으로 ipa trust-add 명령을 인증한 경우에만 이러한 충돌을 해결할 수 있습니다. 해당 권한에 액세스할 수 없는 경우 원래 포리스트의 관리자는 Windows UI의 Active Directory 도메인 및 신뢰 섹션에서 위의 단계를 수동으로 수행해야 합니다.

8. 존재하지 않는 경우 신뢰할 수 있는 도메인의 ID 범위를 생성합니다.
9. 포리스트 신뢰의 경우 포리스트 루트에서 Active Directory 도메인 컨트롤러를 쿼리하여 포리스트 토폴로지에 대한 세부 정보를 확인합니다. IdM 서버는 이 정보를 사용하여 신뢰할 수 있는 포리스트에서 추가 도메인에 대한 추가 ID 범위를 생성합니다.

프로세스

1. IdM 서버에 대한 디버깅을 활성화하려면 다음 콘텐츠를 사용하여 /etc/ipa/server.conf 파일을 생성합니다.

   [global]
   debug=True

2. httpd 서비스를 다시 시작하여 디버깅 구성을 로드합니다.

   [root@trust_controller ~]# systemctl restart httpd

3. smb 및 winbind 서비스를 중지합니다.

   [root@trust_controller ~]# systemctl stop smb winbind

4. smb 및 winbind 서비스의 디버깅 로그 수준을 설정합니다.

   [root@trust_controller ~]# net conf setparm global 'log level' 100

5. IdM 프레임워크에서 사용하는 Samba 클라이언트 코드에 대한 디버그 로깅을 활성화하려면 /usr/share/ipa/smb.conf.empty 구성 파일을 편집하여 다음 내용을 포함합니다.

       [global]
       log level = 100

6. 이전 Samba 로그를 제거합니다.

   [root@trust_controller ~]# rm /var/log/samba/log.*

7. smb 및 winbind 서비스를 시작합니다.

   [root@trust_controller ~]# systemctl start smb winbind

8. 상세 모드가 활성화된 신뢰 설정을 시도할 때 타임스탬프를 출력합니다.

   [root@trust_controller ~]# date; ipa -vvv trust-add --type=ad ad.example.com

9. 실패한 요청에 대한 정보는 다음 오류 로그 파일을 검토합니다.

   1. /var/log/httpd/error_log
   2. /var/log/samba/log.*

10. 디버깅을 비활성화합니다.

    [root@trust_controller ~]# mv /etc/ipa/server.conf /etc/ipa/server.conf.backup
    [root@trust_controller ~]# systemctl restart httpd
    [root@trust_controller ~]# systemctl stop smb winbind
    [root@trust_controller ~]# net conf setparm global 'log level' 0
    [root@trust_controller ~]# mv /usr/share/ipa/smb.conf.empty /usr/share/ipa/smb.conf.empty.backup
    [root@trust_controller ~]# systemctl start smb winbind

11. 선택 사항: 인증 문제의 원인을 확인할 수 없는 경우:

    1. 최근에 생성한 로그 파일을 수집하고 보관합니다.

       [root@trust_controller ~]# tar -cvf debugging-trust.tar /var/log/httpd/error_log /var/log/samba/log.*

    2. Red Hat 기술 지원 케이스를 열고 시도에서 타임스탬프 및 디버그 로그를 제공합니다.