7.12. IdM-AD 트러스트에 대한 DNS 설정 지침
이러한 지침은 IdM(Identity Management)과 AD(Active Directory) 간 상호 신뢰를 구축하기 위한 올바른 DNS 구성을 달성하는 데 도움이 될 수 있습니다.
- 고유한 기본 DNS 도메인
AD와 IdM 모두 고유한 기본 DNS 도메인이 구성되어 있는지 확인합니다. 예를 들어 다음과 같습니다.
-
AD의 경우
ad.example.com
, IdM의 경우idm.example.com
-
AD의 경우
example.com
, IdM의 경우idm.example.com
가장 편리한 관리 솔루션은 각 DNS 도메인이 통합된 DNS 서버에서 관리되는 환경이지만 다른 표준 규격 DNS 서버를 사용할 수도 있습니다.
-
AD의 경우
- IdM 및 AD DNS 도메인
- IdM에 가입된 시스템은 여러 DNS 도메인을 통해 배포할 수 있습니다. Red Hat은 Active Directory가 소유한 것과 다른 DNS 영역에 IdM 클라이언트를 배포하는 것이 좋습니다. AD 트러스트를 지원하려면 기본 IdM DNS 도메인에 적절한 SRV 레코드가 있어야 합니다.
IdM과 Active Directory 간의 신뢰가 있는 일부 환경에서는 Active Directory DNS 도메인에 포함된 호스트에 IdM 클라이언트를 설치할 수 있습니다. 그런 다음 호스트는 Linux에 중점을 둔 IdM 기능을 활용할 수 있습니다. 권장 구성이 아니며 몇 가지 제한 사항이 있습니다. 자세한 내용은 Active Directory DNS 도메인에서 IdM 클라이언트 구성을 참조하십시오.
- 적절한 SRV 레코드
AD 트러스트를 지원하기 위한 기본 IdM DNS 도메인에 적절한 SRV 레코드가 있는지 확인합니다.
동일한 IdM 영역의 일부인 다른 DNS 도메인의 경우 AD에 대한 신뢰가 설정될 때 SRV 레코드를 구성할 필요가 없습니다. 그 이유는 AD 도메인 컨트롤러에서 SRV 레코드를 사용하여 Kerberos 키 배포 센터(KDC)를 검색하지 않고 이름 접미사 라우팅 정보를 기반으로 하기 때문입니다.
- 신뢰의 모든 DNS 도메인에서 확인할 수 있는 DNS 레코드
모든 시스템이 신뢰 관계에 관련된 모든 DNS 도메인에서 DNS 레코드를 확인할 수 있는지 확인합니다.
- IdM DNS를 구성할 때 외부 CA를 사용하여 IdM 서버 설치에 설명된 지침을 따르십시오.
- 통합 DNS 없이 IdM을 사용하는 경우 통합 DNS 없이 IdM 서버 설치에 설명된 지침을 따르십시오.
- Kerberos 영역 이름은 기본 DNS 도메인 이름의 대문자 버전으로
-
Kerberos 영역 이름이 모두 대문자로 기본 DNS 도메인 이름과 같은지 확인합니다. 예를 들어, 도메인 이름이 AD의 경우
ad.example.com
이고 IdM의 경우idm.example.com
이 IdM의 경우 Kerberos 영역 이름은AD.
이어야 합니다.EXAMPLE.COM