41.4. IdM 호스트 및 사용자의 등록 및 인증: 비교
IdM의 사용자와 호스트 간에는 여러 가지가 있으며, 이 중 일부는 등록 단계에서와 배포 단계 중 인증과 관련된 일부 항목을 확인할 수 있습니다.
등록 단계(사용자 및 호스트 등록):
-
관리자는 사용자 또는 호스트가 실제로 IdM에 참여하기 전에 사용자와 호스트에 대한 LDAP 항목을 생성할 수 있습니다. stage 사용자의 경우 명령은
ipa stageuser-add
입니다. host는ipa host-add
입니다. -
사용자 암호를 어느 정도까지 줄일 수 있는 키 테이블 또는 축약, 키탭, 대칭 키가 포함된 파일은 호스트에서
ipa-client-install
명령을 실행하는 동안 생성됩니다. 이로 인해 호스트가 IdM 영역에 결합됩니다. 논리적으로는 계정을 활성화할 때 암호를 생성해야 하므로 IdM 영역에 가입해야 합니다. - 사용자 암호는 사용자의 기본 인증 방법이지만 keytab은 호스트의 기본 인증 방법입니다. keytab은 호스트의 파일에 저장됩니다.
표 41.1. 사용자 및 호스트 등록 동작 사용자 호스트 사전 등록
$ ipa stageuser-add user_name [--password]
$ ipa host-add host_name [--random]
계정 활성화
$ ipa stageuser-activate user_name
$ IPA-client install [--password] (호스트 자체에서 실행해야 함)
-
관리자는 사용자 또는 호스트가 실제로 IdM에 참여하기 전에 사용자와 호스트에 대한 LDAP 항목을 생성할 수 있습니다. stage 사용자의 경우 명령은
배포 단계(사용자 및 호스트 세션 인증)
- 사용자가 새 세션을 시작하면 사용자는 암호를 사용하여 인증합니다. 마찬가지로, 호스트가 키탭 파일을 표시하여 인증합니다. SSSD(System Security Services Daemon)는 백그라운드에서 이 프로세스를 관리합니다.
- 인증에 성공하면 사용자 또는 호스트는 TGT(Kerberos 티켓 부여 티켓)를 가져옵니다.
- TGT는 특정 서비스에 대한 특정 티켓을 얻는 데 사용됩니다.
표 41.2. 사용자 및 호스트 세션 인증 사용자 호스트 기본 인증 수단
암호
keytabs
세션 시작(최신 사용자)
$ kinit user_name
[Winding on the host]
성공적인 인증의 결과
TGT 는 특정 서비스에 대한 액세스 권한을 얻는 데 사용됩니다.
TGT 는 특정 서비스에 대한 액세스 권한을 얻는 데 사용됩니다.
TGT 및 기타 Kerberos 티켓은 서버에서 정의한 Kerberos 서비스 및 정책의 일부로 생성됩니다. Kerberos 티켓의 초기 부여, Kerberos 자격 증명 갱신, Kerberos 세션 삭제도 IdM 서비스에서 자동으로 처리됩니다.
IdM 호스트에 대한 대체 인증 옵션
IdM은 키탭 외에도 두 가지 유형의 시스템 인증을 지원합니다.
- SSH 키. 호스트의 SSH 공개 키가 생성되어 호스트 항목에 업로드됩니다. 여기에서 SSSD(System Security Services Daemon)는 IdM을 ID 공급자로 사용하며 OpenSSH 및 기타 서비스와 협력하여 IdM에 있는 공개 키를 참조할 수 있습니다.
- 시스템 인증서. 이 경우 시스템은 IdM 서버의 인증 기관에서 발행한 SSL 인증서를 사용한 다음 IdM 디렉터리 서버에 저장됩니다. 그런 다음 인증서를 서버에 인증할 때 존재하는 시스템으로 전송됩니다. 클라이언트에서 인증서는 certmonger 라는 서비스에서 관리합니다.