18장. IdM에서 NetNamespace 프록시 사용
일부 관리자는 배포에서 기본 Kerberos 포트에 액세스할 수 없도록 설정할 수 있습니다. 사용자, 호스트 및 서비스가 Kerberos 자격 증명을 가져올 수 있도록 허용하려면 HTTPS
서비스를 HTTPS
포트 443을 통해 Kerberos와 통신하는 프록시로 사용할 수 있습니다.
IdM(Identity Management)에서 KKDCP( Kerberos Key Distribution Center Proxy )는 이 기능을 제공합니다.
IdM 서버에서 KKDCP는 기본적으로 활성화되어 있으며 https://server.idm.example.com/KdcProxy
에서 사용할 수 있습니다. IdM 클라이언트에서 KKDCP에 액세스하려면 Kerberos 구성을 변경해야 합니다.
18.1. KKDCP를 사용하도록 IdM 클라이언트 구성
IdM(Identity Management) 시스템 관리자는 IdM 서버에서 Kerberos KKDCP(Kerberos Key Distribution Center Proxy)를 사용하도록 IdM 클라이언트를 구성할 수 있습니다. 이 기능은 IdM 서버에서 기본 Kerberos 포트에 액세스할 수 없고 HTTPS
포트 443이 Kerberos 서비스에 액세스하는 유일한 방법입니다.
사전 요구 사항
-
IdM 클라이언트에 대한
루트
액세스 권한이 있습니다.
절차
-
편집할
/etc/krb5.conf
파일을 엽니다. [realms]
섹션에kdc
,admin_server
,kpasswd_server
옵션에 KKDCP의 URL을 입력합니다.[realms] EXAMPLE.COM = { kdc = https://kdc.example.com/KdcProxy admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com }
중복성을 위해
kdc
,admin_server
및kpasswd_server
매개 변수를 여러 번 추가하여 다른 KKDCP 서버를 표시할 수 있습니다.sssd
서비스를 다시 시작하여 변경 사항을 적용합니다.~]# systemctl restart sssd