Red Hat Summit9장. IdM에서 표준 DNS 호스트 이름 사용
잠재적인 보안 위험을 방지하기 위해 기본적으로 IdM(Identity Management) 클라이언트에서 DNS 표준화가 비활성화됩니다. 예를 들어 공격자가 도메인의 DNS 서버와 호스트를 제어하는 경우 공격자는 데모 와 같은 짧은 호스트 이름을 유발하여 손상된 호스트를 확인(예: malicious.example.com )할 수 있습니다. 이 경우 사용자는 예상했던 것과 다른 서버에 연결합니다.
다음 절차에서는 IdM 클라이언트에서 표준 호스트 이름을 사용하는 방법을 설명합니다.
9.1. 호스트 주체에 별칭 추가
기본적으로 ipa-client-install 명령을 사용하여 등록된 IdM(Identity Management) 클라이언트는 서비스 주체에서 짧은 호스트 이름을 사용할 수 없습니다. 예를 들어, 사용자는 서비스에 액세스하는 경우 host/demo@EXAMPLE.COM 대신 host/demo.example.com@EXAMPLE.COM 만 사용할 수 있습니다.
Kerberos 주체에 별칭을 추가하려면 다음 절차를 따르십시오. 또는 /etc/krb5.conf 파일에서 호스트 이름을 정식화할 수 있습니다. 자세한 내용은 클라이언트의 서비스 주체에서 호스트 이름 표준화 를 참조하십시오.
사전 요구 사항
- IdM 클라이언트가 설치되어 있습니다.
- 호스트 이름은 네트워크에서 고유합니다.
절차
admin사용자로 IdM에 인증합니다.$ kinit admin호스트 주체에 별칭을 추가합니다. 예를 들어
demo별칭을demo.examle.com호스트 주체에 추가하려면 다음을 수행합니다.$ ipa host-add-principal demo.example.com --principal=demo
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}