1장. 명령줄에서 ID 관리에 로그인
IdM(Identity Management)은 Kerberos 프로토콜을 사용하여 SSO(Single Sign-On)를 지원합니다. SSO(Single Sign-On)는 사용자가 올바른 사용자 이름과 암호를 한 번만 입력한 다음 시스템이 자격 증명을 요청하는 메시지를 표시하지 않고 IdM 서비스에 액세스합니다.
IdM에서 SSSD(System Security Services Daemon)는 사용자가 Kerberos 주체 이름을 사용하여 IdM 클라이언트 시스템의 데스크탑 환경에 성공적으로 로그인한 후 사용자에게 티켓 통합 티켓(TGT)을 자동으로 가져옵니다. 즉, 로그인 후 사용자는 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.
Kerberos 인증 정보 캐시 또는 Kerberos TGT가 만료된 경우 IdM 리소스에 액세스하려면 Kerberos 티켓을 수동으로 요청해야 합니다. 다음 섹션에서는 IdM에서 Kerberos를 사용할 때 기본 사용자 작업을 보여줍니다.
1.1. kinit 를 사용하여 IdM에 수동으로 로그인
이 절차에서는 kinit 유틸리티를 사용하여 IdM(Identity Management) 환경에 수동으로 인증하는 방법을 설명합니다. kinit 유틸리티는 IdM 사용자를 대신하여 Kerberos 티켓(TGT)을 가져오고 캐시합니다.
초기 Kerberos TGT를 제거했거나 만료된 경우에만 이 절차를 사용하십시오. IdM 사용자는 로컬 시스템에 로그인할 때 IdM에 자동으로 로그인됩니다. 즉, 로그인 후 kinit 유틸리티를 사용하여 IdM 리소스에 액세스할 필요가 없습니다.
절차
IdM에 로그인
로컬 시스템에 현재 로그인한 사용자의 사용자 이름에서 사용자 이름을 지정하지 않고 kinit 를 사용합니다. 예를 들어 로컬 시스템에서
example_user로 로그인한 경우:[example_user@server ~]$ kinit Password for example_user@EXAMPLE.COM: [example_user@server ~]$로컬 사용자의 사용자 이름이 IdM의 사용자 항목과 일치하지 않으면 인증 시도에 실패합니다.
[example_user@server ~]$ kinit kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials로컬 사용자 이름에 일치하지 않는 Kerberos 사용자 이름을 사용하여 필요한 사용자 이름을
kinit유틸리티에 전달합니다. 예를 들어admin사용자로 로그인하려면 다음을 수행합니다.[example_user@server ~]$ kinit admin Password for admin@EXAMPLE.COM: [example_user@server ~]$
선택적으로 로그인에 성공했는지 확인하려면 klist 유틸리티를 사용하여 캐시된 TGT를 표시합니다. 다음 예에서 캐시에는
example_user주체의 티켓이 포함되어 있습니다. 즉, 이 특정 호스트에서만example_user만 IdM 서비스에 액세스할 수 있습니다.$ klist Ticket cache: KEYRING:persistent:0:0 Default principal: example_user@EXAMPLE.COM Valid starting Expires Service principal 11/10/2019 08:35:45 11/10/2019 18:35:45 krbtgt/EXAMPLE.COM@EXAMPLE.COM
