10장. 가장 신뢰할 수 있는 교차 신뢰 설정 문제 해결

다음 단계: 명령은 설정 및 입력 확인

1. IdM 서버에 신뢰 컨트롤러 역할이 있는지 확인합니다.
2. ipa trust-add 명령에 전달된 옵션을 확인합니다.
3. 신뢰할 수 있는est 루트 도메인과 연관된 ID 범위를 검증합니다. ID 범위 유형 및 속성을 ipa trust-add 명령에 대한 옵션으로 지정하지 않은 경우 Active Directory에서 검색됩니다.

2부: 이 명령은 Active Directory 도메인에 대한 신뢰를 설정하려고 합니다.

4. 각 신뢰 방향에 대해 별도의 신뢰 개체를 만듭니다. 각 오브젝트는 양쪽(IdM 및 AD)에서 생성됩니다. 단방향 트러스트를 설정하는 경우 각 측에 하나의 개체만 생성됩니다.

5. IdM 서버는 Samba 제품군을 사용하여 Active Directory용 도메인 컨트롤러 기능을 처리하고 대상 AD PDC에서 신뢰 개체를 생성합니다.

   1. IdM 서버는 대상 DC의 IPC$ 공유에 대한 보안 연결을 설정합니다. RHEL 8.4부터 연결에는 적어도 Windows Server 2012 이상의 SMB3 프로토콜이 있어야 세션에 사용된 AES 기반 암호화를 통해 연결이 충분히 보호되도록 합니다.
   2. IdM 서버 쿼리는 LSA QueryTrustedDomainInfoByName 호출을 사용하여 신뢰할 수 있는 도메인 오브젝트(TDO)의 존재 여부를 쿼리합니다.

   3. TDO가 이미 있는 경우 LSA DeleteTrustedDomain 호출을 사용하여 제거합니다.

      참고

      이 호출은 트러스트를 설정하는 데 사용된 AD 사용자 계정에 Incoming Forest Trust Builders 그룹 멤버와 같은 forest 루트에 대한 전체 엔터프라이즈 관리자(EA) 또는 DDA(Domain Admin) 권한이 없는 경우 실패합니다. 이전 TDO가 자동으로 제거되지 않으면 AD 관리자가 AD에서 수동으로 제거해야 합니다.

   4. IdM 서버는 LSA CreateTrustedDomainEx2 호출을 사용하여 새 TDO를 생성합니다. TDO 자격 증명은 128개의 임의 문자가 있는 Samba 제공 암호 생성기를 사용하여 무작위로 생성됩니다.

   5. 그런 다음 새 TDO가 LSA SetInformationTrustedDomain 호출을 통해 수정되어 신뢰에서 지원하는 암호화 유형이 올바르게 설정됩니다.

      1. Active Directory 설계 방식으로 인해 RC4_HMAC_md5 암호화 유형이 사용 중인 RC4 키가 없는 경우에도 사용할 수 있습니다.

      2. AES128_CTS_HMAC_SHA1_96 및 AES256_CTS_HMAC_SHA1_96 암호화 유형이 활성화되어 있습니다.

         참고

         기본적으로 RHEL 9는 AD에 필요한 알고리즘인 SHA-1 암호화를 허용하지 않습니다. AD-SUPPORT 시스템 전체 암호화 하위 정책을 활성화하여 RHEL 9 IdM 서버에서 AD 도메인 컨트롤러와의 SHA-1 암호화를 허용하도록 설정해야 합니다. <link TBA>를 참조하십시오.

6. For a forest trust, verify that in-forest domains can be reachedly with an LSA SetInformationTrustedDomain call.

7. LSA RSetForestTrustInformation 호출을 사용하여 IdM과 통신할 때 AD와의 통신이 가능한 경우 다른 포리스트(IdM)에 대한 신뢰 토폴로지 정보를 추가합니다.

   참고

   이 단계는 다음 세 가지 이유 중 하나로 인해 충돌을 일으킬 수 있습니다.

   1. SID 네임스페이스 충돌은 LSA_SID_DISABLED_CONFLICT 오류로 보고됩니다. 이 충돌을 해결할 수 없습니다.
   2. OPENSHIFT 네임스페이스 충돌은 LSA_NB_DISABLED_CONFLICT 오류로 보고됩니다. 이 충돌을 해결할 수 없습니다.
   3. DNS 네임스페이스가 LSA_TLN_DISABLED_CONFLICT 오류로 보고되는 TLN(최상 수준 이름)과 충돌합니다. IdM 서버는 TLN 충돌을 자동으로 해결할 수 있습니다.

   TLN 충돌을 해결하기 위해 IdM 서버는 다음 단계를 수행합니다.

   1. 충돌하는 포리스트에 대한est 신뢰 정보를 검색합니다.
   2. IdM DNS 네임스페이스의 제외 항목을 AD forest에 추가합니다.
   3. 우리가 충돌하는 숲에 대한 도메인 신뢰 정보를 설정합니다.
   4. 이 경우, 신뢰를 원래의 숲으로 다시 형성하는 것입니다.

   IdM 서버는est 트러스트를 변경할 수 있는 AD 관리자 권한으로 ipa trust-add 명령을 인증한 경우에만 이러한 충돌을 해결할 수 있습니다. 이러한 권한에 액세스할 수 없는 경우 원래의 Specest 관리자는 Windows UI의 Active Directory Domains 및 Trusts 섹션에서 위의 단계를 수동으로 수행해야 합니다.

8. 없는 경우 신뢰할 수 있는 도메인의 ID 범위를 만듭니다.
9. est 트러스트의 경우est 루트에서 Active Directory 도메인 컨트롤러를 쿼리하여 forest 토폴로지에 대한 자세한 내용을 확인합니다.For a forest trust, query Active Directory domain controllers from the forest root for details about the forest topology. IdM 서버는 이 정보를 사용하여 신뢰할 수 있는 포리스트의 추가 도메인에 대한 추가 ID 범위를 생성합니다.