5.2. LDAP에서 IdM으로 마이그레이션할 때 클라이언트 구성 계획

IdM(Identity Management)에서 클라이언트 구성의 세부 사항을 결정하기 전에 먼저 현재 마이그레이션 전 구성의 세부 사항을 설정합니다.

마이그레이션할 거의 모든 LDAP 배포의 초기 상태는 ID 및 인증 서비스를 제공하는 LDAP 서비스가 있다는 것입니다.

그림 5.1. 기본 LDAP 디렉터리 및 클라이언트 구성

Linux 및 Unix 클라이언트는 PAM_LDAP 및 NSS_LDAP 라이브러리를 사용하여 LDAP 서비스에 직접 연결합니다. 이러한 라이브러리를 사용하면 /etc/passwd 또는 /etc/shadow 에 데이터가 저장된 것처럼 클라이언트가 LDAP 디렉토리에서 사용자 정보를 검색할 수 있습니다. 실제 환경에서는 클라이언트가 LDAP를 ID 조회에 사용하고 인증 또는 기타 구성에 Kerberos를 사용하는 경우 인프라가 더 복잡할 수 있습니다.

IdM(Identity Management) 서버는 특히 스키마 지원 및 디렉터리 트리 구조에서 LDAP 디렉터리와 다릅니다. 이러한 차이점에 대한 자세한 내용은 LDAP에서 IdM으로 마이그레이션할 때 클라이언트 구성 계획의 표준 LDAP Directory 를 사용하여 IdM 통합 섹션을 참조하십시오. 이러한 차이점은 특히 디렉터리 트리의 경우 입력 이름에 영향을 주는 데이터에 영향을 줄 수 있습니다. 그러나 차이점은 클라이언트 구성 및 클라이언트가 IdM으로 마이그레이션하는 데 거의 영향을 미치지 않습니다.

RHEL(Red Hat Enterprise Linux)의 SSSD(System Security Services Daemon)는 특수 PAM 및 NSS 라이브러리인 pam_ss 및 nss_ss 를 사용합니다. SSSD는 이러한 라이브러리를 사용하여 IdM(Identity Management)과 긴밀하게 통합하고 전체 인증 및 ID 기능을 활용할 수 있습니다. SSSD에는 중앙 서버에 대한 연결이 손실된 경우에도 사용자가 로그인할 수 있도록 캐싱 ID 정보와 같은 여러 유용한 기능이 있습니다.

pam_ldap 및 nss_ldap 라이브러리를 사용하는 일반 LDAP 디렉터리 서비스와 달리 SSSD는 도메인을 정의하여 ID와 인증 정보 간의 관계를 설정합니다. SSSD의 도메인은 다음 백엔드 기능을 정의합니다.

그런 다음 SSSD 도메인은 공급자를 사용하여 이러한 기능의 일부 또는 모두에 대한 정보를 제공하도록 구성됩니다. 도메인 구성에는 항상 ID 공급자가 필요합니다. 다른 세 개의 공급자는 선택 사항입니다. 인증, 액세스 또는 암호 공급자가 정의되지 않은 경우 ID 공급자가 해당 함수에 사용됩니다.

SSSD는 모든 백엔드 기능에 IdM을 사용할 수 있습니다. 일반 LDAP ID 공급자 또는 Kerberos 인증과 달리 모든 범위의 IdM 기능을 제공하므로 이상적인 구성입니다. 예를 들어, 매일 작동하는 동안 SSSD는 IdM에서 호스트 기반 액세스 제어 규칙과 보안 기능을 적용합니다.

그림 5.2. IdM 백엔드를 사용한 클라이언트 및 SSSD

ipa-client-install 스크립트는 모든 백엔드 서비스에 IdM을 사용하도록 SSSD를 자동으로 구성하여 RHEL 클라이언트가 기본적으로 권장 구성으로 설정되도록 합니다.

Mac, 솔라리스, HP-UX, Vertical, similar Linux와 같은 UNIX 및 Linux 시스템은 IdM(Identity Management)이 관리하지만 SSSD를 사용하지 않는 모든 서비스를 지원합니다. 마찬가지로 이전 RHEL(Red Hat Enterprise Linux) 버전, 특히 6.1 및 5.6은 SSSD를 지원하지만 IdM을 ID 공급자로 지원하지 않는 이전 버전이 있습니다.

시스템에서 최신 버전의 SSSD를 사용할 수 없는 경우 다음과 같은 방식으로 클라이언트를 구성할 수 있습니다.

IdM 서버를 ID 공급자로 사용하도록 이전 버전의 SSSD로 RHEL 클라이언트를 구성하는 방법에 대한 자세한 내용은 RHEL 7 시스템 수준 인증 가이드의 SSSD 섹션에 대한 ID 및 인증 공급자 구성 섹션을 참조하십시오.

그림 5.3. LDAP 및 Kerberos를 사용한 클라이언트 및 IdM

일반적으로 클라이언트에 가능한 가장 안전한 구성을 사용하는 것이 좋습니다. 즉, ID에 사용되는 SSSD 또는 LDAP와 인증을 위한 Kerberos입니다. 그러나 일부 유지 관리 상황 및 IT 구조의 경우 가장 간단한 시나리오에 의존해야 할 수 있습니다. 클라이언트의 nss_ldap 및 pam_ldap 라이브러리를 사용하여 ID와 인증을 모두 제공하도록 LDAP를 구성해야 할 수 있습니다.