4장. IdM 서버 설치: CA 없이 통합된 DNS 사용
통합된 DNS를 사용하여 새로운 IdM(Identity Management) 서버를 설치하는 경우 다음과 같은 이점이 있습니다.
- 네이티브 IdM 툴을 사용하여 많은 유지 관리 및 DNS 레코드 관리를 자동화할 수 있습니다. 예를 들어 설정 중에 DNS SRV 레코드가 자동으로 생성되고 나중에 이 레코드가 자동으로 업데이트됩니다.
- 안정적인 외부 인터넷 연결을 위해 IdM 서버를 설치하는 동안 글로벌 전달자를 구성할 수 있습니다. 글로벌 전달자는 Active Directory와의 신뢰에도 유용합니다.
- 도메인의 이메일이 IdM 도메인 외부의 이메일 서버에서 스팸으로 간주되지 않도록 DNS 역방향 영역을 설정할 수 있습니다.
통합 DNS로 IdM을 설치하면 다음과 같은 몇 가지 제한 사항이 있습니다.
- IdM DNS는 범용 DNS 서버로 사용할 수 없습니다. 일부 고급 DNS 기능은 지원되지 않습니다. 자세한 내용은 IdM 서버에서 사용 가능한 DNS 서비스를 참조하십시오.
이 장에서는 CA(인증 기관) 없이 새 IdM 서버를 설치하는 방법을 설명합니다.
4.1. CA 없이 IdM 서버를 설치하는 데 필요한 인증서
CA(인증 기관) 없이 IdM(Identity Management) 서버를 설치하는 데 필요한 인증서를 제공해야 합니다. 설명된 명령줄 옵션을 사용하면 이러한 인증서를 ipa-server-install
유틸리티에 제공할 수 있습니다.
가져온 인증서 파일에는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 포함되어야 하므로 자체 서명된 타사 서버 인증서를 사용하여 서버 또는 복제본을 설치할 수 없습니다.
- LDAP 서버 인증서 및 개인 키
-
인증서의
--dirsrv-cert-file
및 LDAP 서버 인증서에 대한 개인 키 파일 -
--dirsrv-cert-file
에 지정된 파일의 개인 키에 액세스하기 위한 암호의--dirsrv-pin
-
인증서의
- Apache 서버 인증서 및 개인 키
-
인증서 및 개인 키
파일의 --HTTP-cert-file -
Apache 서버 인증서 -
--http-cert-file
에 지정된 파일에서 개인 키에 액세스하기 위한 --HTTP-pin
-
인증서 및 개인 키
- LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인
-
전체 CA 인증서 체인 또는 그 일부의 인증서 파일의
--dirsrv-cert-file
및--http-cert-file
-
전체 CA 인증서 체인 또는 그 일부의 인증서 파일의
다음 형식으로 --dirsrv-cert-file
및 --http-cert-file
옵션에 지정된 파일을 제공할 수 있습니다.
- 개인 정보 보호 메일 (PEM) 인코딩 인증서 (RFC 7468). Identity Management 설치 프로그램에서는 연결된 PEM 인코딩 오브젝트를 허용합니다.
- 구분 인코딩 규칙(DER)
- PKCS #7 인증서 체인 오브젝트
- PKCS #8 개인 키 오브젝트
- PKCS #12 아카이브
--dirsrv-cert-file
및 --http-cert-file
옵션을 여러 번 지정하여 여러 파일을 지정할 수 있습니다.
- 전체 CA 인증서 체인을 완료하는 인증서 파일 (일부 환경에서는 필요하지 않음)
-
--CA-cert-file
: LDAP, Apache Server 및 Kerberos NetNamespace 인증서를 발급한 CA의 CA 인증서가 포함된 파일 또는 파일에 대한 --CA-cert-file 다른 옵션에서 제공하는 인증서 파일에 CA 인증서가 없는 경우 이 옵션을 사용합니다.
-
--dirsrv-cert-file
및 --http-cert-file
을 사용하여 제공하는 파일과 함께 제공되는 파일에
는 LDAP 및 Apache 서버 인증서를 발급한 CA의 전체 CA 인증서 체인이 포함되어야 합니다.
- Kerberos 키 배포 센터(KDC) PKINIT 인증서 및 개인 키
PKINIT 인증서가 있는 경우 다음 2 옵션을 사용합니다.
-
--PKINIT-cert-file
for the Kerberos자리 SSL 인증서 및 개인 키 -
--pkinit-cert-file
에 지정된 파일에서 Kerberos자리 개인 키에 액세스하기 위한 비밀번호 --PKINIT-pin
-
PKINIT 인증서가 없고 IdM 서버를 자체 서명된 인증서로 로컬 KDC로 구성하려면 다음 옵션을 사용합니다.
-
pkinit 설정 단계를 비활성화하는
--no-pkinit
-
pkinit 설정 단계를 비활성화하는
추가 리소스
-
이러한 옵션을 지정하는 인증서 파일이 적용되는 방법에 대한 자세한 내용은
ipa-server-install
(1) 매뉴얼 페이지를 참조하십시오. - RHEL IdM PKINIT 인증서를 생성하는 데 필요한 PKINIT 확장에 대한 자세한 내용은 RHEL IdM PKINIT KDC 인증서 및 확장 기능을 참조하십시오.