6.2. Identity Management를 사용하여 Linux 시스템을 Active Directory에 간접 통합
간접 통합에서 Linux 시스템은 먼저 중앙 서버에 연결되어 Active Directory(AD)에 연결됩니다. 간접 통합을 통해 관리자는 Linux 시스템과 정책을 중앙에서 관리할 수 있으며 AD의 사용자는 Linux 시스템 및 서비스에 투명하게 액세스할 수 있습니다.
- AD와의 교차 포리스트 신뢰성을 기반으로 하는 통합
IdM(Identity Management) 서버는 Linux 시스템을 제어하는 중앙 서버 역할을 합니다. AD의 사용자가 Linux 시스템 및 리소스에 액세스할 수 있도록 AD의 교차 영역 Kerberos 신뢰가 설정됩니다. IdM은 별도의 포리스트로 AD에 자체적으로 표시되며 AD에서 지원하는 포리스트 수준의 신뢰성을 활용합니다.
신뢰할 수 있는 경우:
- AD 사용자는 IdM 리소스에 액세스할 수 있습니다.
- IdM 서버 및 클라이언트는 AD 사용자 및 그룹의 ID를 확인할 수 있습니다.
- AD 사용자 및 그룹은 호스트 기반 액세스 제어와 같이 IdM에서 정의한 조건에 따라 IdM에 액세스합니다.
- AD 사용자 및 그룹은 AD 측에서 계속 관리됩니다.
- 동기화를 기반으로 한 통합
이 접근 방식은 WinSync 도구를 기반으로 합니다. WinSync 복제 계약은 AD의 사용자 계정을 IdM에 동기화합니다.
주의WinSync는 Red Hat Enterprise Linux 8에서 더 이상 활발하게 개발되지 않습니다. 간접 통합을 위한 선호되는 솔루션은 신뢰할 수 없는 토대입니다.
동기화를 기반으로 하는 통합의 제한 사항은 다음과 같습니다.
- 그룹은 IdM에서 AD로 동기화되지 않습니다.
- 사용자는 AD 및 IdM에서 중복됩니다.
- WinSync는 하나의 AD 도메인만 지원합니다.
- AD에 하나의 도메인 컨트롤러만 사용하여 데이터를 IdM 인스턴스 1개에 동기화할 수 있습니다.
- AD 도메인의 모든 도메인 컨트롤러에 PassSync 구성 요소를 설치해야 하는 사용자 암호를 동기화해야 합니다.
- 동기화를 구성한 후 모든 AD 사용자는 PassSync가 동기화되기 전에 암호를 수동으로 변경해야 합니다.