9장. IdM에서 정식 DNS 호스트 이름 사용
잠재적인 보안 위험을 방지하기 위해 DNS 표준화는 IdM(Identity Management) 클라이언트에서 기본적으로 비활성화되어 있습니다. 예를 들어 공격자가 도메인의 DNS 서버와 호스트를 제어하는 경우 공격자는 데모
와 같은 짧은 호스트 이름을 생성하여 malicious.example.com
과 같은 손상된 호스트를 확인할 수 있습니다. 이 경우 사용자는 예상과는 다른 서버에 연결합니다.
다음 절차에서는 IdM 클라이언트에서 표준 호스트 이름을 사용하는 방법을 설명합니다.
9.1. 호스트 주체에 별칭 추가
기본적으로 ipa-client-install
명령을 사용하여 등록된 IdM(Identity Management) 클라이언트에서 서비스 주체에서 짧은 호스트 이름을 사용할 수 없습니다. 예를 들어, 사용자는 서비스에 액세스할 때
대신 host/demo.example.com@EXAMPLE.COM만 사용할 수 있습니다.
host/demo@EXAMPLE.COM
Kerberos 주체에 별칭을 추가하려면 다음 절차를 따르십시오. 또는 /etc/krb5.conf
파일에서 호스트 이름을 표준화할 수 있습니다. 자세한 내용은 클라이언트의 서비스 주체에서 호스트 이름 표준화 를 참조하십시오.
사전 요구 사항
- IdM 클라이언트가 설치되어 있습니다.
- 호스트 이름은 네트워크에서 고유합니다.
절차
admin
사용자로 IdM에 인증합니다.$ kinit admin
별칭을 호스트 주체에 추가합니다. 예를 들어
demo
.examle.com$ ipa host-add-principal demo.example.com --principal=demo