Red Hat Summit41.10. 호스트 및 서비스에 대한 액세스 위임
IdM 도메인 내의 호스트 및 서비스에 대한 액세스 권한을 위임하면 다른 호스트 또는 서비스에 대한 키탭 및 인증서를 검색할 수 있습니다.
각 호스트 및 서비스에는 관리할 수 있는 호스트 및 서비스를 나열하는 managedby 항목이 있습니다. 기본적으로 호스트는 자체 및 모든 서비스를 관리할 수 있습니다. IdM 도메인 내의 다른 호스트에 있는 다른 호스트 또는 서비스를 관리하도록 호스트를 구성할 수 있습니다.
관리 항목을 통해 호스트의 권한을 다른 호스트에 위임하면 해당 호스트의 모든 서비스에 대한 관리 권한이 자동으로 부여되지 않습니다. 각 위임을 개별적으로 수행해야 합니다.
호스트 및 서비스 위임
41.10.1. 서비스 관리 위임
호스트에 권한을 위임하여 도메인 내의 다른 호스트에서 서비스를 관리할 수 있습니다.
다른 호스트를 관리하기 위해 호스트에 권한을 위임하면 해당 서비스를 관리할 수 있는 권한이 자동으로 포함되지 않습니다. 서비스 관리를 독립적으로 위임해야 합니다.
절차
service-add-host명령을 사용하여 서비스 관리를 특정 호스트에 위임합니다.ipa service-add-host principal --hosts=<hostname>
ipa service-add-host principal --hosts=<hostname>Copy to Clipboard Copied! Toggle word wrap Toggle overflow principal인수와--hosts옵션을 사용하여 제어되는 호스트를 사용하여 서비스 주체를 지정해야 합니다.예를 들면 다음과 같습니다.
ipa service-add HTTP/web.example.com ipa service-add-host HTTP/web.example.com --hosts=client1.example.com
[root@server ~]# ipa service-add HTTP/web.example.com [root@server ~]# ipa service-add-host HTTP/web.example.com --hosts=client1.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 호스트가 권한을 위임하면 호스트 주체를 사용하여 서비스를 관리할 수 있습니다.
kinit -kt /etc/krb5.keytab host/client1.example.com ipa-getkeytab -s server.example.com -k /tmp/test.keytab -p HTTP/web.example.com
[root@client1 ~]# kinit -kt /etc/krb5.keytab host/client1.example.com [root@client1 ~]# ipa-getkeytab -s server.example.com -k /tmp/test.keytab -p HTTP/web.example.com Keytab successfully retrieved and stored in: /tmp/test.keytabCopy to Clipboard Copied! Toggle word wrap Toggle overflow 위임된 서비스에 대한 인증서를 생성하려면 위임된 권한이 있는 호스트에 인증서 요청을 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cert-request유틸리티를 사용하여 인증서 요청을 제출하고 인증 정보를 로드합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
41.10.2. 호스트 관리 위임
host-add-managedby 유틸리티를 사용하여 호스트에서 다른 호스트를 관리할 수 있는 권한을 위임할 수 있습니다. 그러면 managedby 항목이 생성됩니다. managedby 항목이 생성되면 관리 호스트에서 관리하는 호스트의 키탭을 검색할 수 있습니다.
절차
admin 사용자로 로그인합니다.
kinit admin
[root@server ~]# kinit adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow managedby항목을 추가합니다. 예를 들어, 이 위임 권한은 client2 에 대해 client1 에 해당합니다.ipa host-add-managedby client2.example.com --hosts=client1.example.com
[root@server ~]# ipa host-add-managedby client2.example.com --hosts=client1.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 호스트 client1 로 티켓을 받으십시오.
kinit -kt /etc/krb5.keytab host/client1.example.com
[root@client1 ~]# kinit -kt /etc/krb5.keytab host/client1.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow client2 의 키탭을 검색합니다.
ipa-getkeytab -s server.example.com -k /tmp/client2.keytab -p host/client2.example.com
[root@client1 ~]# ipa-getkeytab -s server.example.com -k /tmp/client2.keytab -p host/client2.example.com Keytab successfully retrieved and stored in: /tmp/client2.keytabCopy to Clipboard Copied! Toggle word wrap Toggle overflow
41.10.3. 위임된 서비스에 액세스
클라이언트에 위임된 권한이 있는 경우 서비스와 호스트 모두에 대한 로컬 시스템에서 주체의 키탭을 가져올 수 있습니다.
kinit 명령과 함께 -k 옵션을 사용하여 keytab을 로드하고 -t 옵션을 사용하여 keytab을 지정합니다. 기본 형식은 < principal>/hostname@REALM 입니다. 서비스의 경우 < principal> 을 서비스 이름(예: HTTP)으로 바꿉니다. 호스트의 경우 host 를 주체로 사용합니다.
절차
호스트에 액세스하려면 다음을 수행합니다.
kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM
[root@server ~]# kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COMCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스에 액세스하려면 다음을 수행합니다.
kinit -kt /etc/httpd/conf/krb5.keytab HTTP/ipa.example.com@EXAMPLE.COM
[root@server ~]# kinit -kt /etc/httpd/conf/krb5.keytab HTTP/ipa.example.com@EXAMPLE.COMCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}