Red Hat Summit15.3. IdM에서 PKINIT 구성
PKINIT가 비활성화된 상태에서 IdM 서버가 실행 중인 경우 다음 단계를 사용하여 활성화합니다. 예를 들어 ipa-server-install 또는 ipa-replica-install 유틸리티를 사용하여 --no-pkinit 옵션을 전달하면 서버가 PKINIT를 비활성화하여 실행되고 있습니다.
사전 요구 사항
- 설치된 CA(인증 기관)가 있는 모든 IdM 서버가 동일한 도메인 수준에서 실행되고 있는지 확인합니다.
절차
서버에서 PKINIT가 활성화되어 있는지 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow kinit admin ipa pkinit-status --server=server.idm.example.com
# kinit admin Password for admin@IDM.EXAMPLE.COM: # ipa pkinit-status --server=server.idm.example.com 1 server matched ---------------- Server name: server.idm.example.com PKINIT status:enabled ---------------------------- Number of entries returned 1 ----------------------------PKINIT가 비활성화된 경우 다음 출력이 표시됩니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa pkinit-status --server server.idm.example.com
# ipa pkinit-status --server server.idm.example.com ----------------- 0 servers matched ----------------- ---------------------------- Number of entries returned 0 ------------------------------server <server_fqdn> 매개변수를 생략하면 명령을 사용하여 PKINIT가 활성화된 모든 서버를 찾을 수도 있습니다.CA 없이 IdM을 사용하는 경우:
IdM 서버에서 KDC(Kerberos 키 배포 센터) 인증서에 서명한 CA 인증서를 설치합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-cacert-manage install -t CT,C,C ca.pem
# ipa-cacert-manage install -t CT,C,C ca.pem모든 IPA 호스트를 업데이트하려면 모든 복제본 및 클라이언트에서
ipa-certupdate명령을 반복합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-certupdate
# ipa-certupdateipa-cacert-manage list명령을 사용하여 CA 인증서가 이미 추가되었는지 확인합니다. 예를 들어 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-cacert-manage list
# ipa-cacert-manage list CN=CA,O=Example Organization The ipa-cacert-manage command was successfulipa-server-certinstall유틸리티를 사용하여 외부 KDC 인증서를 설치합니다. KDC 인증서는 다음 조건을 충족해야 합니다.-
CN=fully_qualified_domain_name,certificate_subject_base로 발행됩니다. -
Kerberos 주체
krbtgt/realM_NAME@REALM_NAME이 포함됩니다. KDC 인증을 위한 OID(오브젝트 식별자)가 포함됩니다.
1.3.6.1.5.2.3.5.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-server-certinstall --kdc kdc.pem kdc.key systemctl restart krb5kdc.service
# ipa-server-certinstall --kdc kdc.pem kdc.key # systemctl restart krb5kdc.service
-
PKINIT 상태를 참조하십시오.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa pkinit-status
# ipa pkinit-status Server name: server1.example.com PKINIT status: enabled [...output truncated...] Server name: server2.example.com PKINIT status: disabled [...output truncated...]
CA 인증서가 있는 IdM을 사용하는 경우 다음과 같이 PKINIT를 활성화합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-pkinit-manage enable
# ipa-pkinit-manage enable Configuring Kerberos KDC (krb5kdc) [1/1]: installing X509 Certificate for PKINIT Done configuring Kerberos KDC (krb5kdc). The ipa-pkinit-manage command was successfulIdM CA를 사용하는 경우 명령은 CA에서 PKINIT KDC 인증서를 요청합니다.
추가 리소스
-
ipa-server-certinstall(1)매뉴얼 페이지
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}