9.5. Active Directory 도메인을 사용하여 신뢰를 위한 인증서 매핑 규칙
IdM 배포가 AD(Active Directory) 도메인과의 신뢰 관계에 있는 경우 다른 인증서 매핑 사용 사례가 가능합니다.
AD 구성에 따라 다음 시나리오가 가능합니다.
- 인증서가 AD 인증서 시스템에서 발행되지만 사용자와 인증서가 IdM에 저장된 경우 인증 요청의 매핑과 전체 처리가 IdM 측에서 수행됩니다. 이 시나리오 구성의 자세한 내용은 IdM에 저장된 사용자의 인증서 매핑 구성을참조하십시오.
사용자가 AD에 저장되면 인증 요청 처리가 AD에서 수행됩니다. 여기에는 세 가지 다른 케이스가 있습니다:
- AD 사용자 항목에는 전체 인증서가 포함되어 있습니다. 이 시나리오에서 IdM을 구성하는 방법에 대한 자세한 내용은 AD 사용자 항목이 전체 인증서가 포함된 사용자를 위한 인증서 매핑 구성을 참조하십시오.
-
AD는 사용자 인증서를 사용자 계정에 매핑하도록 구성되어 있습니다. 이 경우 AD 사용자 항목에는 전체 인증서가 포함되어 있지 않지만
altSecurityIdentities라는 속성이 포함되어 있습니다. 이 시나리오에서 IdM을 구성하는 방법에 대한 자세한 내용은 사용자 인증서를 사용자 계정에 매핑하도록 AD가 구성된 경우 인증서 매핑 구성을 참조하십시오. AD 사용자 항목에는 전체 인증서와 매핑 데이터가 포함되어 있지 않습니다. 이 경우 다음 두 가지 옵션이 있습니다.
- AD 인증서 시스템에서 사용자 인증서를 발급한 경우 인증서에는 SAN(Subject Alternative Name)으로 사용자 주체 이름이 포함되어 있거나 최신 업데이트가 AD에 적용되는 경우 인증서 SID에 있는 사용자의 SID가 포함됩니다. 두 가지 모두 인증서를 사용자에게 매핑하는 데 사용할 수 있습니다.
-
사용자 인증서가 스마트 카드에 있는 경우 스마트 카드로 SSH를 활성화하려면 인증서에서 공개 SSH 키를 파생해야 하므로 전체 인증서가 필요합니다. 유일한 해결책은
ipa idoverrideuser-add명령을 사용하여 IdM의 AD 사용자 ID 재정의에 전체 인증서를 추가하는 것입니다. 자세한 내용은 AD 사용자 항목에 인증서 또는 매핑 데이터가 없는 경우 인증서 매핑 구성 을 참조하십시오.
AD 도메인 관리자는 altSecurityIdentities 특성을 사용하여 AD의 사용자에게 인증서를 수동으로 매핑할 수 있습니다. 이 속성에는 지원되는 6개의 값이 있지만 세 매핑은 안전하지 않은 것으로 간주됩니다. 2022 보안 업데이트 의 일부로 설치되면 모든 장치가 호환성 모드에 있고 인증서가 사용자에게 약한 경우 인증이 예상대로 수행됩니다. 그러나 경고 메시지는 전체 적용 모드와 호환되지 않는 모든 인증서를 식별할 수 있습니다. 2023년 11월 14일 이후부터 모든 장치가 완전히 적용 모드로 업데이트되고 인증서가 강력한 매핑 기준에 실패하면 인증이 거부됩니다.
예를 들어 AD 사용자가 인증서(PKINIT)를 사용하여 IdM Kerberos 티켓을 요청하는 경우 AD는 인증서를 내부적으로 사용자에게 매핑해야 하며 새 매핑 규칙을 사용합니다. 그러나 IdM 클라이언트의 사용자에게 인증서를 매핑하는 데 IdM을 사용하는 경우 이전 규칙이 계속 작동합니다.
IdM은 새 매핑 템플릿을 지원하므로 AD 관리자가 새 규칙을 더 쉽게 사용할 수 있으며 두 가지 모두를 유지 관리하지 않습니다. IdM은 다음을 포함하도록 Active Directory에 추가된 새 매핑 템플릿을 지원합니다.
- 일련 번호: LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})
- 제목 키 ID: LDAPU1:(altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})
- 사용자 SID: LDAPU1:(objectsid={sid})
새 SID 확장으로 인증서를 다시 게시하지 않으려면 AD의 사용자 altSecurityIdentities 속성에 적절한 매핑 문자열을 추가하여 수동 매핑을 만들 수 있습니다.
