5장. IdM 서버 설치: CA 없이 통합된 DNS 사용


통합된 DNS를 사용하여 새로운 IdM(Identity Management) 서버를 설치하는 경우 다음과 같은 이점이 있습니다.

  • 네이티브 IdM 툴을 사용하여 많은 유지 관리 및 DNS 레코드 관리를 자동화할 수 있습니다. 예를 들어 설정 중에 DNS SRV 레코드가 자동으로 생성되고 나중에 이 레코드가 자동으로 업데이트됩니다.
  • 안정적인 외부 인터넷 연결을 위해 IdM 서버를 설치하는 동안 글로벌 전달자를 구성할 수 있습니다. 글로벌 전달자는 Active Directory와의 신뢰에도 유용합니다.
  • 도메인의 이메일이 IdM 도메인 외부의 이메일 서버에서 스팸으로 간주되지 않도록 DNS 역방향 영역을 설정할 수 있습니다.

통합 DNS로 IdM을 설치하면 다음과 같은 몇 가지 제한 사항이 있습니다.

이 장에서는 CA(인증 기관) 없이 새 IdM 서버를 설치하는 방법을 설명합니다.

5.1. CA 없이 IdM 서버를 설치하는 데 필요한 인증서

CA(인증 기관) 없이 IdM(Identity Management) 서버를 설치하는 데 필요한 인증서를 제공해야 합니다. 설명된 명령줄 옵션을 사용하면 이러한 인증서를 ipa-server-install 유틸리티에 제공할 수 있습니다.

중요

가져온 인증서 파일에는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 포함되어야 하므로 자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.

LDAP 서버 인증서 및 개인 키
  • 인증서의 --dirsrv-cert-file 및 LDAP 서버 인증서에 대한 개인 키 파일
  • --dirsrv-cert-file에 지정된 파일의 개인 키에 액세스하기 위한 암호의 --dirsrv-pin
Apache 서버 인증서 및 개인 키
  • 인증서 및 개인 키 파일의 --HTTP-cert-file - Apache 서버 인증서
  • --http-cert-file 에 지정된 파일에서 개인 키에 액세스하기 위한 --HTTP-pin
LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인
  • 전체 CA 인증서 체인 또는 그 일부의 인증서 파일의 --dirsrv-cert-file--http-cert-file

다음 형식으로 --dirsrv-cert-file--http-cert-file 옵션에 지정된 파일을 제공할 수 있습니다.

  • 개인 정보 보호 메일 (PEM) 인코딩 인증서 (RFC 7468). Identity Management 설치 프로그램에서는 연결된 PEM 인코딩 오브젝트를 허용합니다.
  • 구분 인코딩 규칙(DER)
  • PKCS #7 인증서 체인 오브젝트
  • PKCS #8 개인 키 오브젝트
  • PKCS #12 아카이브

--dirsrv-cert-file--http-cert-file 옵션을 여러 번 지정하여 여러 파일을 지정할 수 있습니다.

전체 CA 인증서 체인을 완료하는 인증서 파일 (일부 환경에서는 필요하지 않음)
  • --CA-cert-file: LDAP, Apache Server 및 Kerberos NetNamespace 인증서를 발급한 CA의 CA 인증서가 포함된 파일 또는 파일에 대한 --CA-cert-file 다른 옵션에서 제공하는 인증서 파일에 CA 인증서가 없는 경우 이 옵션을 사용합니다.

--dirsrv-cert-file--http-cert-file 을 사용하여 제공하는 파일과 함께 제공되는 파일에 는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 포함되어야 합니다.

Kerberos 키 배포 센터(KDC) PKINIT 인증서 및 개인 키
  • PKINIT 인증서가 있는 경우 다음 2 옵션을 사용합니다.

    • --PKINIT-cert-file for the Kerberos자리 SSL 인증서 및 개인 키
    • --pkinit-cert-file 에 지정된 파일에서 Kerberos자리 개인 키에 액세스하기 위한 비밀번호 --PKINIT-pin
  • PKINIT 인증서가 없고 IdM 서버를 자체 서명된 인증서로 로컬 KDC로 구성하려면 다음 옵션을 사용합니다.

    • pkinit 설정 단계를 비활성화하는 --no-pkinit

추가 리소스

  • 이러한 옵션을 지정하는 인증서 파일이 적용되는 방법에 대한 자세한 내용은 ipa-server-install(1) 매뉴얼 페이지를 참조하십시오.
  • RHEL IdM PKINIT 인증서를 생성하는 데 필요한 PKINIT 확장에 대한 자세한 내용은 RHEL IdM PKINIT KDC 인증서 및 확장 기능을 참조하십시오.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.