7장. IdM과 AD 간의 교차 포리스트 신뢰 계획
AD(Active Directory) 및 IdM(Identity Management)은 Kerberos, LDAP, DNS 및 인증서 서비스와 같은 다양한 핵심 서비스를 관리하는 두 가지 대체 환경입니다. 모든 핵심 서비스가 원활하게 상호 작용할 수 있도록 함으로써 이러한 두 가지 환경을 투명하게 통합합니다. 다음 섹션에서는 신뢰할 수 있는 교차 배포를 계획하고 설계하는 방법에 대한 조언을 제공합니다.
7.1. IdM과 AD 간의 교차 포리스트 및 외부 신뢰
IdM과 AD 간의 상호 신뢰
순수 AD(Active Directory) 환경에서 크로스 포리스트 신뢰는 두 개의 개별 AD 포레스트 루트 도메인을 연결합니다. AD와 IdM 간에 교차 Pod 트러스트를 생성하면 IdM 도메인이 단일 도메인을 사용하여 별도의 포리스트로 AD에 표시됩니다. 그러면 ADfor root 도메인과 IdM 도메인 사이에 신뢰 관계가 설정됩니다. 결과적으로 AD 포리스트의 사용자가 IdM 도메인의 리소스에 액세스할 수 있습니다.
IdM은 하나의 AD 포리스트 또는 여러 관련되지 않은 포리스트로 신뢰를 설정할 수 있습니다.
두 개의 개별 Kerberos 영역을 교차 영역 신뢰에 연결할 수 있습니다. 그러나 Kerberos 영역은 ID 및 권한 부여 작업에 관련된 다른 서비스 및 프로토콜이 아닌 인증에만 관련이 있습니다. 따라서 Kerberos 교차 영역 트러스트를 설정하는 것만으로는 한 영역의 사용자가 다른 영역의 리소스에 액세스할 수 있는 것으로는 충분하지 않습니다.
AD 도메인에 대한 외부 신뢰
외부 신뢰는 IdM과 Active Directory 도메인 간의 신뢰 관계입니다. 포리스트 신뢰는 항상 IdM과 Active Directory 포리스트의 루트 도메인 사이에 신뢰를 설정해야 하지만, IdM에서 포리스트 내의 모든 도메인에 외부 신뢰성을 설정할 수 있습니다.
